The WP Enable WebP plugin for WordPress is vulnerable to arbitrary file uploads due to improper file type validation in the 'wpse_file_and_ext_webp' function in all versions up to, and including, 1.0. This makes it possible for authenticated attackers, with Author-level access and above, to upload arbitrary files on the affected site's server which may make remote code execution possible.
The WP Enable WebP WordPress plugin versions up to 1.0 contains an arbitrary file upload vulnerability in the 'wpse_file_and_ext_webp' function due to improper file type validation. Authenticated users with Author-level access or higher can upload malicious files, potentially leading to remote code execution on affected WordPress sites.
تحتوي إضافة WP Enable WebP للإصدارات حتى 1.0 على ثغرة تحميل ملفات تعسفية في دالة 'wpse_file_and_ext_webp' بسبب التحقق غير الكافي من نوع الملف. يمكن للمستخدمين المصرح لهم بمستوى الكاتب أو أعلى تحميل ملفات ضارة قد تؤدي إلى تنفيذ أوامر بعيدة على خادم الموقع.
The WP Enable WebP WordPress plugin versions up to 1.0 contains an arbitrary file upload vulnerability in the 'wpse_file_and_ext_webp' function due to improper file type validation. Authenticated users with Author-level access or higher can upload malicious files, potentially leading to remote code execution on affected WordPress sites.
Update the WP Enable WebP plugin to version 1.1 or later immediately. Implement strict file type validation on the server-side, restrict file upload permissions to trusted users only, disable PHP execution in upload directories via .htaccess or web server configuration, and monitor file upload activities for suspicious patterns.
قم بتحديث إضافة WP Enable WebP إلى الإصدار 1.1 أو أحدث فوراً. طبق التحقق الصارم من نوع الملف على جانب الخادم، وقيد صلاحيات تحميل الملفات للمستخدمين الموثوقين فقط، وعطل تنفيذ PHP في مجلدات التحميل عبر .htaccess أو إعدادات خادم الويب، وراقب أنشطة تحميل الملفات للأنماط المريبة.