CVE-2025-8895
CriticalSummary
Wtyczka WP Webhooks dla WordPressa jest podatna na kopiowanie dowolnych plików z powodu braku walidacji danych wejściowych dostarczanych przez użytkownika we wszystkich wersjach do 3.3.5 włącznie. Umożliwia to nieautoryzowanym atakującym kopiowanie dowolnych plików na serwerze dotkniętej witryny.
Risk Assessment
Atakujący mogą skopiować zawartość pliku wp-config.php do pliku tekstowego, który następnie może być dostępny w przeglądarce, ujawniając dane uwierzytelniające do bazy danych. To stwarza poważne ryzyko dla bezpieczeństwa danych organizacji.
Recommendation
Zaleca się aktualizację wtyczki WP Webhooks do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa serwera w celu zidentyfikowania i zabezpieczenia innych potencjalnych luk.
Original NVD description (English source)
The WP Webhooks plugin for WordPress is vulnerable to arbitrary file copy due to missing validation of user-supplied input in all versions up to, and including, 3.3.5. This makes it possible for unauthenticated attackers to copy arbitrary files on the affected site's server to arbitrary locations. This can be used to copy the contents of wp-config.php into a text file which can then be accessed in a browser to reveal database credentials.

