CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-12057

Critical
Published: Translated: NVD NIST

Summary

Wtyczka WavePlayer dla WordPressa w wersjach przed 3.8.0 nie posiada autoryzacji w akcji AJAX oraz nie weryfikuje pliku, który ma być skopiowany lokalnie. To umożliwia nieautoryzowanym użytkownikom przesyłanie dowolnych plików na serwer, co może prowadzić do zdalnego wykonania kodu (RCE).

Risk Assessment

Brak odpowiedniej autoryzacji i walidacji plików stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając atakującym zdalne wykonanie kodu i potencjalne przejęcie kontroli nad systemem.

Recommendation

Zaleca się aktualizację wtyczki WavePlayer do wersji 3.8.0 lub nowszej oraz wdrożenie dodatkowych mechanizmów autoryzacji i walidacji plików w aplikacji.

Original NVD description (English source)

The WavePlayer WordPress plugin before 3.8.0 does not have authorization in an AJAX action as well as does not validate the file to be copied locally, allowing unauthenticated users to upload arbitrary file on the server and lead to RCE

Vulnerability data from NVD (NIST) · CISA KEV · EPSS