CVE-2025-13329
KrytyczneStreszczenie
Wtyczka File Uploader dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji zwrotnej dla punktu końcowego REST API 'add-image-data' we wszystkich wersjach do 1.0.3 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików do usługi Uploadcare.
Ocena ryzyka
Atakujący mogą przesyłać złośliwe pliki na serwer dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu. To stwarza poważne zagrożenie dla bezpieczeństwa danych i integralności systemu.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak walidacja typów plików na poziomie serwera.
Oryginalny opis (angielski, źródło NVD)
The File Uploader for WooCommerce plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the callback function for the 'add-image-data' REST API endpoint in all versions up to, and including, 1.0.3. This makes it possible for unauthenticated attackers to upload arbitrary files to the Uploadcare service and subsequently download them on the affected site's server which may make remote code execution possible.

