Критична вразливість у плагіні Jupiter X Core для WordPress, який використовується більш ніж 90 000 веб-сайтів. Помилка дозволяє зловмиснику з правами контрибутора або вище завантажувати шкідливі SVG-файли та виконувати віддалений код на сервері. Дана вразливість отримала CVSS оцінку 8.8 (високий рівень ризику).
Проблема викликана зловмисною перевіркою SVG-файлів у функції get_svg(), що дозволяє зловмисникам обходити системи безпеки. Завантажений шкідливий файл містить PHP-код, який дозволяє отримати доступ до ресурсів сервера через цю функцію. Це дозволяє авторизованим користувачам права та виконувати довільний код на сервері, отримувати конфіденційні дані або обходити обмеження доступу.
Вразливість була виявлена дослідниками stealthcopter 6 січня 2025 року і повідомлена через Wordfence Bug Bounty Programme, за що вони отримали винагороду в розмірі 782$. Розробник плагіна, Artbees, випустив оновлення 4.8.8 29 січня 2025 року, яке виправляє цю проблему.
Користувачам Jupiter X Core терміново рекомендується оновити свої плагіни до версії 4.8.8, а також ввімкнути автооновлення плагінів і тем, робити регулярну перевірку встановлених розширень і видаляти застарілі або непотрібні модулі, щоб знизити ризик атак.
294 
283 
259 