CVE-2025-10412
KrytyczneStreszczenie
Wtyczka Product Options and Price Calculation Formulas for WooCommerce – Uni CPO (Premium) dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu błędnej walidacji typów plików w funkcji 'uni_cpo_upload_file' w wersjach do 4.9.55 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Ocena ryzyka
Podatność ta stwarza ryzyko zdalnego wykonania kodu, co może prowadzić do przejęcia kontroli nad serwerem i wycieku danych. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem ich systemów.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie typów plików, które mogą być przesyłane.
Oryginalny opis (angielski, źródło NVD)
The Product Options and Price Calculation Formulas for WooCommerce – Uni CPO (Premium) plugin for WordPress is vulnerable to arbitrary file uploads due to misconfigured file type validation in the 'uni_cpo_upload_file' function in all versions up to, and including, 4.9.55. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.

