CVE-2025-11391
KrytyczneStreszczenie
Wtyczka PPOM – Product Addons & Custom Fields dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjonalności przycinania obrazów we wszystkich wersjach do 33.0.15 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do przesyłania złośliwego kodu, co może prowadzić do zdalnego wykonania kodu na serwerze. To stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa serwera w celu wykrycia i usunięcia potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
The PPOM – Product Addons & Custom Fields for WooCommerce plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the image cropper functionality in all versions up to, and including, 33.0.15. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. While the vulnerable code is in the free version, this only affected users with the paid version of the software installed and activated.

