CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-5058

Critical
Published: Translated: NVD NIST

Summary

Wtyczka eMagicOne Store Manager dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji set_image() we wszystkich wersjach do 1.2.5 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

Risk Assessment

Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu przez nieautoryzowanych atakujących, co może prowadzić do przejęcia kontroli nad serwerem. W szczególności dotyczy to konfiguracji domyślnych, gdzie hasło pozostawiono jako 1:1.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wprowadzenie silnych haseł dla kont administracyjnych, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Original NVD description (English source)

The eMagicOne Store Manager for WooCommerce plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the set_image() function in all versions up to, and including, 1.2.5. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. This is only exploitable by unauthenticated attackers in default configurations where the the default password is left as 1:1, or where the attacker gains access to the credentials.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS