Katalog CVE

CVE-2025-7441

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka StoryChief dla WordPressa jest podatna na nieautoryzowane przesyłanie plików we wszystkich wersjach do 1.0.42 włącznie. Podatność ta występuje przez punkt końcowy REST-API /wp-json/storychief/webhook, który nie ma wystarczającej walidacji typów plików.

Ocena ryzyka

Atakujący bez uwierzytelnienia mogą przesyłać dowolne pliki na serwer dotkniętej witryny, co może prowadzić do zdalnego wykonania kodu. To stwarza poważne zagrożenie dla bezpieczeństwa danych i systemu organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki StoryChief do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto wdrożyć dodatkowe mechanizmy zabezpieczeń, takie jak walidacja typów plików na poziomie serwera.

Oryginalny opis (angielski, źródło NVD)

The StoryChief plugin for WordPress is vulnerable to arbitrary file uploads in all versions up to, and including, 1.0.42. This vulnerability occurs through the /wp-json/storychief/webhook REST-API endpoint that does not have sufficient filetype validation. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS