CVE-2025-12656
NiskieCVSS 3.8Streszczenie
Wtyczka WPvivid Backup & Migration dla WordPressa jest podatna na nieautoryzowane usuwanie katalogów z powodu niewystarczającej walidacji ścieżek plików w funkcji delete_cancel_staging_site(). Dotyczy to wszystkich wersji do 0.9.128 włącznie.
Ocena ryzyka
Atakujący z dostępem na poziomie Administratora może usunąć dowolne foldery na serwerze, co prowadzi do utraty danych.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz ograniczenie dostępu do kont Administratora.
Oryginalny opis (angielski, źródło NVD)
The Migration, Backup, Staging – WPvivid Backup & Migration plugin for WordPress is vulnerable to arbitrary directory deletion due to insufficient file path validation in the delete_cancel_staging_site() function in all versions up to, and including, 0.9.128. This makes it possible for authenticated attackers, with Administrator-level access and above, to delete arbitrary folders on the server, which leads to a loss of data.

