CVE-2025-15546
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Wtyczka Iptanus File Upload dla WordPress przed wersją 5.1.7 nie implementuje prawidłowego zarządzania plikami, gdy ustawienie duplicatepolicy jest skonfigurowane na "zachowaj oba". Z powodu warunku wyścigu TOCTOU między sprawdzeniem istnienia pliku a faktyczną operacją zapisu, uwierzytelniony atakujący może nadpisać pliki przesłane przez innych użytkowników.
Ocena ryzyka
Ryzyko polega na możliwości nadpisania plików innych użytkowników przez uwierzytelnionego atakującego, co może prowadzić do utraty danych, naruszenia integralności plików lub potencjalnego wstrzyknięcia złośliwej treści.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Iptanus File Upload do wersji 5.1.7 lub nowszej, która usuwa podatność poprzez poprawne zarządzanie plikami i eliminację warunku wyścigu.
Oryginalny opis (angielski, źródło NVD)
The Iptanus File Upload WordPress plugin before 5.1.7 does not implement proper file handling when the duplicatepolicy setting is configured to "maintain both." Due to a Time-of-Check to Time-of-Use (TOCTOU) race condition between the file existence check and the actual file write operation, an authenticated attacker can overwrite files uploaded by other users.

