CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-2941

Critical
Published: Translated: NVD NIST

Summary

Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przenoszenie plików z powodu niewystarczającej walidacji ścieżek plików w parametrze wc-upload-file[] we wszystkich wersjach do 1.1.4 włącznie. Umożliwia to nieautoryzowanym atakującym przenoszenie dowolnych plików na serwerze.

Risk Assessment

To może prowadzić do zdalnego wykonania kodu, jeśli atakujący przeniesie odpowiedni plik, na przykład wp-config.php, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie i ograniczenie dostępu do krytycznych plików systemowych.

Original NVD description (English source)

The Drag and Drop Multiple File Upload for WooCommerce plugin for WordPress is vulnerable to arbitrary file moving due to insufficient file path validation via the wc-upload-file[] parameter in all versions up to, and including, 1.1.4. This makes it possible for unauthenticated attackers to move arbitrary files on the server, which can easily lead to remote code execution when the right file is moved (such as wp-config.php).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS