CVE-2025-12539
KrytyczneStreszczenie
Wtyczka TNC Toolbox: Web Performance dla WordPressa jest podatna na ujawnienie wrażliwych informacji we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z przechowywania danych uwierzytelniających cPanel API w plikach w katalogu wp-content, co umożliwia nieautoryzowanym atakującym ich odczyt.
Ocena ryzyka
Ujawnienie danych uwierzytelniających może prowadzić do interakcji z API cPanel, co stwarza ryzyko przesyłania dowolnych plików, zdalnego wykonywania kodu oraz pełnego przejęcia środowiska hostingowego.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz zabezpieczenie przechowywanych danych uwierzytelniających przed dostępem z sieci.
Oryginalny opis (angielski, źródło NVD)
The TNC Toolbox: Web Performance plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.4.2. This is due to the plugin storing cPanel API credentials (hostname, username, and API key) in files within the web-accessible wp-content directory without adequate protection in the "Tnc_Wp_Toolbox_Settings::save_settings" function. This makes it possible for unauthenticated attackers to retrieve these credentials and use them to interact with the cPanel API, which can lead to arbitrary file uploads, remote code execution, and full compromise of the hosting environment.

