CVE-2025-12057
CriticalSummary
Wtyczka WavePlayer dla WordPressa w wersjach przed 3.8.0 nie posiada autoryzacji w akcji AJAX oraz nie weryfikuje pliku, który ma być skopiowany lokalnie. To umożliwia nieautoryzowanym użytkownikom przesyłanie dowolnych plików na serwer, co może prowadzić do zdalnego wykonania kodu (RCE).
Risk Assessment
Brak odpowiedniej autoryzacji i walidacji plików stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając atakującym zdalne wykonanie kodu i potencjalne przejęcie kontroli nad systemem.
Recommendation
Zaleca się aktualizację wtyczki WavePlayer do wersji 3.8.0 lub nowszej oraz wdrożenie dodatkowych mechanizmów autoryzacji i walidacji plików w aplikacji.
Original NVD description (English source)
The WavePlayer WordPress plugin before 3.8.0 does not have authorization in an AJAX action as well as does not validate the file to be copied locally, allowing unauthenticated users to upload arbitrary file on the server and lead to RCE

