CVE-2025-7852

Nome do Software Vulnerável e Versões Afetadas Versões do WPBookit anteriores à 1.0.7

Descrição O plugin WPBookit para WordPress está suscetível a upload de arquivos arbitrários devido à falta de validação de tipo de arquivo na função image upload handle(). Esta função é acessada via rota 'add new customer'. O plugin utiliza move uploaded file() em arquivos fornecidos pelo cliente sem restringir extensões permitidas ou tipos MIME, nem sanitizar o nome do arquivo. Isso permite que atacantes não autenticados façam upload de arquivos arbitrários para o servidor afetado, potencialmente levando à execução remota de código.

Recomendações Versões do WPBookit anteriores à 1.0.7: Atualize para a versão 1.0.7 ou posterior.