CVE-2025-13439

Nome do Software Vulnerável e Versões Afetadas Plugin Fancy Product Designer para WordPress versões anteriores à 6.4.9

Descrição O software contém uma falha devido à validação inadequada da entrada fornecida pelo usuário no parâmetro url da ação AJAX 'fpd custom uplod file'. Esta entrada é passada diretamente para a função getimagesize() sem a devida sanitização. Embora a exploração via cadeias de filtros PHP seja restrita no PHP 8 e versões posteriores, a falha pode ser explorada através de uma condição de corrida TOCTOU ou pode ser diretamente explorável em instalações PHP 7.x. Isso permite que atacantes não autenticados leiam arquivos sensíveis arbitrários do servidor, como wp-config.php.

Recomendações Atualize o plugin Fancy Product Designer para a versão 6.4.9 ou posterior.