PT-2025-12867 · WordPress · Total Upkeep
Dzmitry Sviatlichny
·
Publicado
2025-03-26
·
Atualizado
2025-03-26
·
CVE-2025-2257
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Total Upkeep – WordPress Backup Plugin plus Restore & Migrate by BoldGrid versões até e incluindo a 1.16.10
Descrição
O problema está relacionado à configuração
compression level no plugin, que é utilizada em proc open() sem qualquer validação. Isso permite que atacantes autenticados com acesso de nível de administrador ou superior executem código no servidor.Recomendações
Para versões até e incluindo a 1.16.10, considere desativar a configuração
compression level ou restringir o acesso ao plugin até que uma correção esteja disponível. Como solução temporária, evite utilizar a configuração compression level no plugin afetado.Correção
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Total Upkeep