CVE-2025-1093
CriticalSummary
Motyw AIHub dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji generate_image we wszystkich wersjach do i włącznie z 1.3.7. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.
Risk Assessment
Brak walidacji typu pliku stwarza ryzyko, że atakujący mogą przesłać złośliwe pliki, co może prowadzić do zdalnego wykonania kodu na serwerze. To może poważnie zagrozić bezpieczeństwu danych i integralności systemu.
Recommendation
Zaleca się aktualizację motywu AIHub do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo, warto wdrożyć dodatkowe mechanizmy walidacji przesyłanych plików.
Original NVD description (English source)
The AIHub theme for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the generate_image function in all versions up to, and including, 1.3.7. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.

