Katalog CVE

CVE-2025-8895

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka WP Webhooks dla WordPressa jest podatna na kopiowanie dowolnych plików z powodu braku walidacji danych wejściowych dostarczanych przez użytkownika we wszystkich wersjach do 3.3.5 włącznie. Umożliwia to nieautoryzowanym atakującym kopiowanie dowolnych plików na serwerze dotkniętej witryny.

Ocena ryzyka

Atakujący mogą skopiować zawartość pliku wp-config.php do pliku tekstowego, który następnie może być dostępny w przeglądarce, ujawniając dane uwierzytelniające do bazy danych. To stwarza poważne ryzyko dla bezpieczeństwa danych organizacji.

Rekomendacja

Zaleca się aktualizację wtyczki WP Webhooks do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa serwera w celu zidentyfikowania i zabezpieczenia innych potencjalnych luk.

Oryginalny opis (angielski, źródło NVD)

The WP Webhooks plugin for WordPress is vulnerable to arbitrary file copy due to missing validation of user-supplied input in all versions up to, and including, 3.3.5. This makes it possible for unauthenticated attackers to copy arbitrary files on the affected site's server to arbitrary locations. This can be used to copy the contents of wp-config.php into a text file which can then be accessed in a browser to reveal database credentials.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS