Katalog CVE

CVE-2025-12656

NiskieCVSS 3.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WPvivid Backup & Migration dla WordPressa jest podatna na nieautoryzowane usuwanie katalogów z powodu niewystarczającej walidacji ścieżek plików w funkcji delete_cancel_staging_site(). Dotyczy to wszystkich wersji do 0.9.128 włącznie.

Ocena ryzyka

Atakujący z dostępem na poziomie Administratora może usunąć dowolne foldery na serwerze, co prowadzi do utraty danych.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz ograniczenie dostępu do kont Administratora.

Oryginalny opis (angielski, źródło NVD)

The Migration, Backup, Staging – WPvivid Backup & Migration plugin for WordPress is vulnerable to arbitrary directory deletion due to insufficient file path validation in the delete_cancel_staging_site() function in all versions up to, and including, 0.9.128. This makes it possible for authenticated attackers, with Administrator-level access and above, to delete arbitrary folders on the server, which leads to a loss of data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS