CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-13329

Critical
Published: Translated: NVD NIST

Summary

Wtyczka File Uploader dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji zwrotnej dla punktu końcowego REST API 'add-image-data' we wszystkich wersjach do 1.0.3 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików do usługi Uploadcare.

Risk Assessment

Atakujący mogą przesyłać złośliwe pliki na serwer dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu. To stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak walidacja typów plików na poziomie serwera.

Original NVD description (English source)

The File Uploader for WooCommerce plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the callback function for the 'add-image-data' REST API endpoint in all versions up to, and including, 1.0.3. This makes it possible for unauthenticated attackers to upload arbitrary files to the Uploadcare service and subsequently download them on the affected site's server which may make remote code execution possible.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS