CVE-2025-2005
KrytyczneStreszczenie
Wtyczka Front End Users dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w polu przesyłania plików formularza rejestracyjnego we wszystkich wersjach do i włącznie z 3.2.32. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Ocena ryzyka
Brak walidacji typu pliku może prowadzić do przesyłania złośliwego oprogramowania, co stwarza ryzyko zdalnego wykonania kodu na serwerze. Organizacja może być narażona na poważne incydenty bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo warto wdrożyć dodatkowe mechanizmy walidacji przesyłanych plików.
Oryginalny opis (angielski, źródło NVD)
The Front End Users plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the file uploads field of the registration form in all versions up to, and including, 3.2.32. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.

