Katalog CVE

CVE-2025-5058

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka eMagicOne Store Manager dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji set_image() we wszystkich wersjach do 1.2.5 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu przez nieautoryzowanych atakujących, co może prowadzić do przejęcia kontroli nad serwerem. W szczególności dotyczy to konfiguracji domyślnych, gdzie hasło pozostawiono jako 1:1.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wprowadzenie silnych haseł dla kont administracyjnych, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

The eMagicOne Store Manager for WooCommerce plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the set_image() function in all versions up to, and including, 1.2.5. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. This is only exploitable by unauthenticated attackers in default configurations where the the default password is left as 1:1, or where the attacker gains access to the credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS