CVE-2025-5058
KrytyczneStreszczenie
Wtyczka eMagicOne Store Manager dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji set_image() we wszystkich wersjach do 1.2.5 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu przez nieautoryzowanych atakujących, co może prowadzić do przejęcia kontroli nad serwerem. W szczególności dotyczy to konfiguracji domyślnych, gdzie hasło pozostawiono jako 1:1.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wprowadzenie silnych haseł dla kont administracyjnych, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
The eMagicOne Store Manager for WooCommerce plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the set_image() function in all versions up to, and including, 1.2.5. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. This is only exploitable by unauthenticated attackers in default configurations where the the default password is left as 1:1, or where the attacker gains access to the credentials.

