Luka RCE we wtyczce WordPress Augmented-Reality (CVE-2023-54350)

Luka oznaczona jako CVE-2023-54350 otrzymała ocenę 7.5 w skali CVSS (Common Vulnerability Scoring System — skala 0-10 oceniająca powagę luki). Pozwala na zdalne wykonanie kodu, czyli RCE (Remote Code Execution) ¹, we wtyczce WordPress Augmented-Reality. Problem zidentyfikowano w komponencie konektora elFinder ². Umożliwia on nieautoryzowanym atakującym wgranie i uruchomienie dowolnych plików PHP na serwerze, na którym działa strona ³.

WordPress jest najpopularniejszym systemem zarządzania treścią na świecie, napędzając znaczną część polskiego internetu — od małych blogów po strony korporacyjne i sklepy e-commerce w sektorze MŚP. Podatność w popularnej wtyczce stanowi bezpośrednie zagrożenie dla integralności i bezpieczeństwa tych serwisów. Przejęcie kontroli nad serwerem może prowadzić do kradzieży danych, w tym danych osobowych podlegających RODO, rozsyłania spamu lub dalszych ataków w sieci wewnętrznej firmy.

TL;DR

• Produkt: Wtyczka WordPress Augmented-Reality.
• Wektor: Nieautoryzowane żądanie POST wysłane do punktu końcowego connector.minimal.php ⁴.
• Luka: CVE-2023-54350 ¹, zdalne wykonanie kodu (RCE) bez uwierzytelnienia ³.
• Wskaźniki kompromitacji (IoC): Żądania POST do connector.minimal.php ⁴ zawierające komendy mkfile i put ⁵; obecność nietypowych plików PHP w katalogu file_manager wtyczki ⁶.
• Kogo dotyczy: Administratorzy stron opartych o WordPress z zainstalowaną podatną wersją wtyczki Augmented-Reality, w tym polskie firmy i organizacje.
• Pierwszy ruch: Natychmiastowa dezaktywacja i usunięcie wtyczki, a następnie analiza logów serwera WWW w poszukiwaniu śladów ataku.

Wektor ataku

Analiza luki wskazuje na prosty, lecz skuteczny mechanizm przejęcia kontroli. Atakujący nie potrzebuje żadnych danych uwierzytelniających do serwisu WordPress. Wystarczy wysłać spreparowane żądanie HTTP typu POST bezpośrednio do pliku connector.minimal.php ⁴, który jest częścią wtyczki.

Żądanie to wykorzystuje funkcjonalność komponentu elFinder ². Atakujący używa komend mkfile oraz put ⁵, aby najpierw stworzyć pusty plik z rozszerzeniem .php, a następnie wypełnić go złośliwą zawartością. Pliki te są zapisywane w publicznie dostępnym katalogu file_manager wewnątrz struktury wtyczki ⁶.

Po pomyślnym wgraniu pliku, atakujący może go po prostu wywołać przez przeglądarkę, przechodząc pod odpowiedni adres URL. To powoduje wykonanie kodu PHP na serwerze z uprawnieniami, z jakimi działa proces serwera WWW ⁷. Skutkiem jest pełne zdalne wykonanie kodu, co może prowadzić do instalacji webshella, kradzieży danych z bazy danych WordPress, eskalacji uprawnień na serwerze lub wykorzystania go jako bazy do dalszych ataków.

Wskaźniki kompromitacji

Zespoły SOC (Security Operations Center) i administratorzy powinni przeszukać logi serwerów WWW (np. Apache, Nginx) pod kątem następujących wskaźników kompromitacji (IoC – Indicators of Compromise):

# Wzorzec żądania w logach serwera WWW
POST /wp-content/plugins/augmented-reality/file_manager/php/connector.minimal.php HTTP/1.1

# Podejrzane pliki w katalogu wtyczki (ścieżka poglądowa)
/var/www/html/wp-content/plugins/augmented-reality/file_manager/files/*.php

# Słowa kluczowe w ciele żądania POST (jeśli logowane)
cmd=mkfile
cmd=put

Obecność żądań POST do connector.minimal.php ⁴ jest silnym sygnałem próby ataku lub udanej kompromitacji. Należy również zweryfikować zawartość katalogu file_manager ⁶ pod kątem obecności jakichkolwiek plików PHP, których nie powinno tam być.

Co zrobić w 24-48h

Z uwagi na fakt, że amerykańska agencja NVD nie priorytetyzuje obecnie tej luki, co może oznaczać brak szybkiej reakcji ze strony twórców lub porzucenie projektu ⁸, rekomendowane podejście to natychmiastowe działanie.

1. Identyfikacja i Deaktywacja: Zidentyfikujmy wszystkie instancje WordPress w swojej infrastrukturze, które korzystają z wtyczki Augmented-Reality. Natychmiast ją deaktywujmy i usuńmy. Samo wyłączenie może nie być wystarczające, jeśli pliki pozostały na serwerze.

2. Analiza Logów: Przeszukaj logi serwera WWW pod kątem żądań do ścieżki /wp-content/plugins/augmented-reality/file_manager/php/connector.minimal.php ⁴. Zwróć szczególną uwagę na żądania POST i źródłowe adresy IP.

3. Weryfikacja Integralności Plików: Sprawdź katalog wp-content/plugins/augmented-reality/file_manager/ ⁶ oraz inne lokalizacje zapisu plików na serwerze pod kątem nietypowych plików PHP.

4. Reagowanie na Incydent: Jeśli potwierdzisz kompromitację, potraktuj serwer jako niezaufany. Należy rozpocząć procedurę reagowania na incydenty. Dla polskich podmiotów oznacza to potencjalną konieczność zgłoszenia naruszenia do CERT Polska oraz, w przypadku wycieku danych osobowych, do Urzędu Ochrony Danych Osobowych (UODO) zgodnie z wymogami RODO.

5. Wdrożenie Zabezpieczeń: Rozważmy wdrożenie reguł na poziomie WAF (Web Application Firewall), które blokują dostęp do znanych podatnych ścieżek we wtyczkach WordPress. Regularny audyt i minimalizacja liczby używanych wtyczek to kluczowy element długoterminowej obrony.

Powyższe kroki stanowią rekomendowane podejście i mogą pomóc w ograniczeniu ryzyka. Nie zastępują one pełnej konsultacji z ekspertami ds. bezpieczeństwa ani kompleksowego audytu po incydencie.

Źródła

Zobacz też

• RCE w popularnej wtyczce WordPress Spectra. Brak łatki.
• CVE-2025-51427: RCE w ModelScope. Zagrożenie dla projektów AI
• CVE-2026-45505: Krytyczna luka RCE w Apache ActiveMQ

Footnotes

1. Wtyczka WordPress Augmented-Reality zawiera lukę typu Remote Code Execution (RCE). — https://nvd.nist.gov/vuln/detail/CVE-2023-54350 ↩ ↩²

2. Luka znajduje się w konektorze elFinder wtyczki WordPress Augmented-Reality. — https://nvd.nist.gov/vuln/detail/CVE-2023-54350 ↩ ↩²

3. Luka umożliwia nieautoryzowanym atakującym przesyłanie i wykonywanie dowolnych plików PHP. — https://nvd.nist.gov/vuln/detail/CVE-2023-54350 ↩ ↩²

4. Atakujący mogą wysyłać żądania POST do punktu końcowego connector.minimal.php. — https://nvd.nist.gov/vuln/detail/CVE-2023-54350 ↩ ↩² ↩³ ↩⁴ ↩⁵

5. Żądania POST powinny zawierać komendy mkfile i put, aby utworzyć złośliwe pliki PHP. — https://nvd.nist.gov/vuln/detail/CVE-2023-54350 ↩ ↩²

6. Złośliwe pliki PHP są tworzone w katalogu file_manager. — https://nvd.nist.gov/vuln/detail/CVE-2023-54350 ↩ ↩² ↩³ ↩⁴

7. Po utworzeniu, złośliwe pliki PHP mogą być wykonywane na serwerze. — https://nvd.nist.gov/vuln/detail/CVE-2023-54350 ↩

8. NVD nie priorytetyzuje tego rekordu CVE do wzbogacenia ze względu na zasoby lub inne obawy. — https://nvd.nist.gov/vuln/detail/CVE-2023-54350 ↩