The affiliate-toolkit plugin for WordPress is vulnerable to remote code execution in all versions up to, and including, 3.8.5. This is due to the plugin using the BladeOne templating engine's runString() method which compiles user-supplied template content into PHP code and executes it via eval() without sanitization or sandboxing. This makes it possible for authenticated attackers, with Editor-level access and above, to execute arbitrary code on the server by injecting PHP into a plugin template.
The affiliate-toolkit WordPress plugin versions up to 3.8.5 contain a remote code execution vulnerability through the BladeOne templating engine's runString() method, which executes unsanitized user input via eval(). Authenticated attackers with Editor-level access can inject arbitrary PHP code to execute commands on the server.
تحتوي إضافة affiliate-toolkit لـ WordPress على ثغرة خطيرة في معالجة القوالب حيث تستخدم محرك BladeOne لتجميع محتوى القوالب المزود من قبل المستخدم إلى كود PHP وتنفيذه مباشرة دون تصفية أو عزل. يمكن للمهاجمين المصرح لهم بمستوى محرر أو أعلى حقن أكواد PHP ضارة لتنفيذ أوامر تعسفية على الخادم.
The affiliate-toolkit WordPress plugin versions up to 3.8.5 contain a remote code execution vulnerability through the BladeOne templating engine's runString() method, which executes unsanitized user input via eval(). Authenticated attackers with Editor-level access can inject arbitrary PHP code to execute commands on the server.
Update the affiliate-toolkit plugin to version 3.8.6 or later immediately. Restrict Editor-level access to trusted administrators only. Implement Web Application Firewall (WAF) rules to detect and block template injection attempts. Monitor server logs for suspicious PHP execution patterns.
قم بتحديث إضافة affiliate-toolkit إلى الإصدار 3.8.6 أو أحدث فوراً. قيّد وصول مستوى المحرر للمسؤولين الموثوقين فقط. طبّق قواعد جدار حماية تطبيقات الويب لكشف ومنع محاولات حقن القوالب. راقب سجلات الخادم للبحث عن أنماط تنفيذ PHP المريبة.