PT-2025-50813 · WordPress · Infility Global
Kenneth Dunn
·
Publicado
2025-12-12
·
Atualizado
2025-12-17
·
CVE-2025-12968
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Infility Global anteriores à 2.14.24
Descrição
O plugin Infility Global para WordPress está suscetível a upload de arquivos arbitrários devido à validação inadequada de tipo de arquivo e à falta de verificações de permissão. A função
upload file dentro da classe infility import file valida apenas o tipo MIME, que pode ser facilmente manipulado. Além disso, a função import data carece de verificações de permissão adequadas. Isso permite que invasores autenticados com acesso de nível de assinante ou superior façam upload de arquivos arbitrários para o servidor, potencialmente levando à execução remota de código.Recomendações
Atualize o Infility Global para a versão 2.14.24 ou posterior.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Infility Global