CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-14388

Critical
Published: Translated: NVD NIST

Summary

Wtyczka PhastPress dla WordPressa jest podatna na nieautoryzowane odczyty plików poprzez wstrzyknięcie bajtu null we wszystkich wersjach do 3.7 włącznie. Problem wynika z niezgodności w walidacji rozszerzeń, co umożliwia atakującym odczyt dowolnych plików z katalogu głównego, w tym wp-config.php.

Risk Assessment

Atakujący mogą uzyskać dostęp do wrażliwych plików konfiguracyjnych, co może prowadzić do przejęcia kontroli nad stroną internetową oraz wycieku danych. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację wtyczki PhastPress do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak ograniczenie dostępu do wrażliwych plików.

Original NVD description (English source)

The PhastPress plugin for WordPress is vulnerable to Unauthenticated Arbitrary File Read via null byte injection in all versions up to, and including, 3.7. This is due to a discrepancy between the extension validation in `getExtensionForURL()` which operates on URL-decoded paths, and `appendNormalized()` which strips everything after a null byte before constructing the filesystem path. This makes it possible for unauthenticated attackers to read arbitrary files from the webroot, including wp-config.php, by appending a double URL-encoded null byte (%2500) followed by an allowed extension (.txt) to the file path.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS