CVE-2025-1661

Nome do Software Vulnerável e Versões Afetadas HUSKY – Plugin Products Filter Professional para WooCommerce para WordPress, versões até e incluindo a 1.3.6.5

Descrição A vulnerabilidade permite que atacantes não autenticados incluam e executem arquivos arbitrários no servidor por meio do parâmetro template da ação AJAX "woof text search". Isso possibilita a execução de qualquer código PHP nesses arquivos, o que pode ser usado para contornar controles de acesso, obter dados sensíveis ou lograr execução de código nos casos em que imagens e outros tipos de arquivos "seguros" possam ser enviados e incluídos.

Recomendações Para as versões até e incluindo a 1.3.6.5, considere desativar a ação AJAX woof text search ou restringir o acesso a ela até que uma correção esteja disponível. Além disso, restrinja o envio de arquivos apenas aos tipos necessários e garanta a validação e sanitização adequadas do parâmetro template para minimizar o risco de exploração.