PT-2025-38123 · WordPress · Storeengine
Ryan Kozak
·
Publicado
2025-09-17
·
Atualizado
2025-09-17
·
CVE-2025-9216
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do StoreEngine até e incluindo a 1.5.0
Descrição
O plugin WordPress StoreEngine está suscetível a upload arbitrário de arquivos devido à ausência de validação de tipo de arquivo na função
import(). Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior façam upload de arquivos arbitrários no servidor afetado, potencialmente levando à execução remota de código.Recomendações
Atualize o StoreEngine para uma versão superior à 1.5.0.
Exploit
Correção
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Storeengine