Katalog CVE

CVE-2025-2941

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Drag and Drop Multiple File Upload dla WooCommerce w WordPressie jest podatna na nieautoryzowane przenoszenie plików z powodu niewystarczającej walidacji ścieżek plików w parametrze wc-upload-file[] we wszystkich wersjach do 1.1.4 włącznie. Umożliwia to nieautoryzowanym atakującym przenoszenie dowolnych plików na serwerze.

Ocena ryzyka

To może prowadzić do zdalnego wykonania kodu, jeśli atakujący przeniesie odpowiedni plik, na przykład wp-config.php, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak monitorowanie i ograniczenie dostępu do krytycznych plików systemowych.

Oryginalny opis (angielski, źródło NVD)

The Drag and Drop Multiple File Upload for WooCommerce plugin for WordPress is vulnerable to arbitrary file moving due to insufficient file path validation via the wc-upload-file[] parameter in all versions up to, and including, 1.1.4. This makes it possible for unauthenticated attackers to move arbitrary files on the server, which can easily lead to remote code execution when the right file is moved (such as wp-config.php).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS