CVE-2025-68063
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Wtyczka Splash - Sport Club WordPress Theme dla koszykówki, piłki nożnej i hokeja w wersji 4.4.3 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez współtwórców. Umożliwia to atakującemu z uprawnieniami współtwórcy odczyt wrażliwych plików na serwerze.
Ocena ryzyka
Ryzyko polega na możliwości odczytu poufnych plików konfiguracyjnych, takich jak wp-config.php, co może prowadzić do wycieku danych logowania do bazy danych i przejęcia kontroli nad stroną.
Rekomendacja
Zaleca się natychmiastową aktualizację motywu Splash - Sport Club do najnowszej dostępnej wersji, która usuwa tę podatność. Należy również ograniczyć uprawnienia współtwórców do minimum.
Oryginalny opis (angielski, źródło NVD)
Contributor Local File Inclusion in Splash - Sport Club WordPress Theme for Basketball, Football, Hockey <= 4.4.3 versions.

