CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-10412

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Product Options and Price Calculation Formulas for WooCommerce – Uni CPO (Premium) dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu błędnej walidacji typów plików w funkcji 'uni_cpo_upload_file' w wersjach do 4.9.55 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

Risk Assessment

Podatność ta stwarza ryzyko zdalnego wykonania kodu, co może prowadzić do przejęcia kontroli nad serwerem i wycieku danych. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem ich systemów.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie typów plików, które mogą być przesyłane.

Original NVD description (English source)

The Product Options and Price Calculation Formulas for WooCommerce – Uni CPO (Premium) plugin for WordPress is vulnerable to arbitrary file uploads due to misconfigured file type validation in the 'uni_cpo_upload_file' function in all versions up to, and including, 4.9.55. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS