Уязвимость BDU:2022-03311

Идентификатор: BDU:2022-03311.

Наименование уязвимости: Уязвимость функции add_custom_font плагина редактирования шаблонов веб-сайтов Tatsu Builder системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость функции add_custom_font плагина редактирования шаблонов веб-сайтов Tatsu Builder системы управления содержимым сайта WordPress связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем загрузки специально созданного zip-файла
Уязвимое ПО: Прикладное ПО информационных систем Tatsu Builder до 3.3.13 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 14.01.2021.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению:
Использование рекомендаций:
https://www.wordfence.com/blog/2022/05/millions-of-attacks-target-tatsu-builder-plugin/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-25094.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.wordfence.com/blog/2022/05/millions-of-attacks-target-tatsu-builder-plugin/
https://packetstormsecurity.com/files/167190/WordPress-Tatsu-Builder-Remote-Code-Execution.html
https://darkpills.com/wordpress-tatsu-builder-preauth-rce-cve-2021-25094/
https://wpscan.com/vulnerability/fb0097a0-5d7b-4e5b-97de-aacafa8fffcd
https://xakep.ru/2022/05/18/tatsu-builder/
https://github.com/darkpills/CVE-2021-25094-tatsu-preauth-rce
https://vuldb.com/?id.198468