Das WordPress-Plugin WP Query Console weist eine kritische Schwachstelle zur Remote Code Execution (RCE) auf, die alle Versionen bis einschließlich 1.0 betrifft. Diese Schwachstelle ist nicht authentifiziert, was es Angreifern ermöglicht, beliebigen Code ohne vorherigen Zugriff auszuführen. Ein Proof-of-Concept-Exploit ist öffentlich verfügbar, was die Wahrscheinlichkeit einer Ausnutzung erheblich erhöht.
Patchstack hat diese Schwachstelle als hochgefährlich eingestuft, mit einem CVSS-Wert von 10, und erklärt, dass “mit einer massiven Ausnutzung zu rechnen ist”.
| Produkt | wp-query-console |
| Datum | 03.12.2024 15:20:17 |
| Informationen |
|
Technische Zusammenfassung
Das WordPress-Plugin WP Query Console ist in allen Versionen bis einschließlich 1.0 anfällig für Remote Code Execution. Dieser Fehler ermöglicht es nicht authentifizierten Angreifern, beliebigen Code auf dem Server auszuführen, was potenziell zur vollständigen Kompromittierung der Website und der Hosting-Umgebung führen kann.
Empfehlungen
Da derzeit kein Patch verfügbar ist und das Plugin seit sieben Jahren nicht mehr gewartet oder aktualisiert wurde, wird empfohlen, das Plugin WP Query Console umgehend zu deaktivieren und zu deinstallieren.
[Callforaction-THREAT-Footer]
Leave a Reply