CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-7441

Critical
Published: Translated: NVD NIST

Summary

Wtyczka StoryChief dla WordPressa jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.0.42 włącznie. Podatność ta występuje przez punkt końcowy REST-API /wp-json/storychief/webhook, który nie ma wystarczającej walidacji typów plików.

Risk Assessment

Atakujący bez uwierzytelnienia mogą przesyłać dowolne pliki na serwer dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu. To stwarza poważne zagrożenie dla bezpieczeństwa danych i systemu organizacji.

Recommendation

Zaleca się aktualizację wtyczki StoryChief do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak walidacja typów plików na poziomie serwera.

Original NVD description (English source)

The StoryChief plugin for WordPress is vulnerable to arbitrary file uploads in all versions up to, and including, 1.0.42. This vulnerability occurs through the /wp-json/storychief/webhook REST-API endpoint that does not have sufficient filetype validation. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS