Katalog CVE

CVE-2025-13773

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Print Invoice & Delivery Notes dla WooCommerce w WordPressie jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 5.8.0 włącznie, przez funkcję 'WooCommerce_Delivery_Notes::update'. Brak weryfikacji uprawnień oraz nieprawidłowe zabezpieczenia w pliku 'template.php' umożliwiają nieautoryzowanym atakującym wykonanie kodu na serwerze.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala atakującym na zdalne wykonanie dowolnego kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie wtyczki do najnowszej wersji oraz przeprowadzenie audytu zabezpieczeń serwera, aby zminimalizować ryzyko wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

The Print Invoice & Delivery Notes for WooCommerce plugin for WordPress is vulnerable to Remote Code Execution in all versions up to, and including, 5.8.0 via the 'WooCommerce_Delivery_Notes::update' function. This is due to missing capability check in the 'WooCommerce_Delivery_Notes::update' function, PHP enabled in Dompdf, and missing escape in the 'template.php' file. This makes it possible for unauthenticated attackers to execute code on the server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS