Katalog CVE

CVE-2025-5394

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Motyw Alone – Charity Multipurpose Non-profit dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień w funkcji alone_import_pack_install_plugin() w wersjach do 7.8.3 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie plików zip zawierających webshells, podszywających się pod wtyczki, co prowadzi do zdalnego wykonania kodu.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem. Naraża to dane i zasoby organizacji na nieautoryzowany dostęp i potencjalne straty.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie motywu do najnowszej wersji, która zawiera poprawki bezpieczeństwa. Dodatkowo, warto wdrożyć mechanizmy weryfikacji uprawnień dla przesyłanych plików, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

The Alone – Charity Multipurpose Non-profit WordPress Theme theme for WordPress is vulnerable to arbitrary file uploads due to a missing capability check on the alone_import_pack_install_plugin() function in all versions up to, and including, 7.8.3. This makes it possible for unauthenticated attackers to upload zip files containing webshells disguised as plugins from remote locations to achieve remote code execution. CVE-2025-54019 is likely a duplicate of this.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS