CVE-2025-12824

Nome do Software Vulnerável e Versões Afetadas Plugin Player Leaderboard para WordPress versões até e incluindo a 1.0.2

Descrição O plugin Player Leaderboard para WordPress está suscetível a Inclusão de Arquivo Local através do shortcode 'player leaderboard'. O problema origina-se do plugin utilizar um valor não sanitizado do atributo 'mode' dentro do shortcode em conjunto com a função include(), sem a devida validação de caminho. Isso permite que invasores autenticados com acesso de nível de Contribuidor ou superior incluam e executem arquivos PHP arbitrários no servidor. A exploração bem-sucedida pode resultar no contorno de controles de acesso, obtenção de dados sensíveis ou na execução remota de código completa, particularmente se a funcionalidade de upload de arquivos também estiver disponível. O parâmetro vulnerável é mode.

Recomendações Versões anteriores à 1.0.3 devem ser atualizadas.