WP: Używasz wtyczki article2pdf? Usuń ją!

Obrazek dla WP: Używasz wtyczki article2pdf? Usuń ją!

W starej, nieuaktualnianej od 10 lat wtyczce do WordPress pod nazwą article2pdf, która umożliwia pobranie dokumentu PDF z artykułem/postem wykryto wiele CVE (CVE-2019-1000031, CVE-2019-1010257).

Po nieudanych próbach kontaktu z autorem – wtyczka została usunięta z repozytorium WordPress już w styczniu 2019 roku. Niemniej jednak może zdarzyć się sytuacja iż ktoś może nadal jej używać.

[CVE-2019-1000031]

W skrócie:

Atakujący, przez umiejętne odświeżanie URL – może wykorzystać całą quotę na dysku serwera. Plik z PDF – nie jest usuwany – jeśli użytkownik go nie pobierze. Co za czym idzie – atakujący może wywoływać dany URL i tworzyć masowo pliki PDF na serwerze, które będą przyrastały (wykorzystując miejsce) i nie będą usuwane.

[CVE-2019-1010257]

W skrócie:

Wartości parametrów URL do pobrania wygenerowanego PDF nie są odpowiednio filtrowane. Jest możliwe wstrzyknięcie kodu w zmiennej w metodzie GET().

 

Źródło: https://seclists.org/bugtraq/2019/Mar/49

Zalecamy usunięcie tej wtyczki.