CVE-2025-12057
KrytyczneStreszczenie
Wtyczka WavePlayer dla WordPressa w wersjach przed 3.8.0 nie posiada autoryzacji w akcji AJAX oraz nie weryfikuje pliku, który ma być skopiowany lokalnie. To umożliwia nieautoryzowanym użytkownikom przesyłanie dowolnych plików na serwer, co może prowadzić do zdalnego wykonania kodu (RCE).
Ocena ryzyka
Brak odpowiedniej autoryzacji i walidacji plików stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając atakującym zdalne wykonanie kodu i potencjalne przejęcie kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację wtyczki WavePlayer do wersji 3.8.0 lub nowszej oraz wdrożenie dodatkowych mechanizmów autoryzacji i walidacji plików w aplikacji.
Oryginalny opis (angielski, źródło NVD)
The WavePlayer WordPress plugin before 3.8.0 does not have authorization in an AJAX action as well as does not validate the file to be copied locally, allowing unauthenticated users to upload arbitrary file on the server and lead to RCE

