CRITICAL🇬🇧 English

CVE-2025-14502

Local File Inclusion w pluginie WordPress News and Blog Designer Bundle

CVSS 9.8v3.1pub. 2026-01-14upd. 2026-04-15

Plugin WordPress 'News and Blog Designer Bundle' w wersjach do 1.1 włącznie zawiera krytyczną podatność Local File Inclusion (LFI), umożliwiającą nieuwierzytelnionym atakującym wykonanie dowolnego kodu PHP na serwerze. Ze względu na brak wymogu uwierzytelnienia i możliwość pełnego przejęcia serwera podatność oceniona jest jako krytyczna (CVSS 9.8).

Pokaż oryginał (EN)

The News and Blog Designer Bundle plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 1.1 via the template parameter. This makes it possible for unauthenticated attackers to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php file types can be uploaded and included.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi parametru 'template' w module AJAX pluginu (plik class-nbdb-ajax.php), który bez odpowiedniej walidacji pozwala wskazać dowolny plik .php na serwerze. Atakujący może zdalnie wywołać żądanie wskazujące na wybrany przez siebie plik PHP, który następnie zostanie załadowany i wykonany przez serwer. W scenariuszu, gdzie atakujący może wcześniej przesłać na serwer własny plik .php (np. przez inną funkcjonalność), możliwe jest osiągnięcie pełnego Remote Code Execution. Błąd klasyfikowany jest jako CWE-98 (improper control of filename for include/require statement).

Skutki

Nieuwierzytelniony atakujący może wykonać dowolny kod PHP na serwerze, ominąć mechanizmy kontroli dostępu, uzyskać dostęp do wrażliwych danych lub całkowicie przejąć kontrolę nad serwerem hostującym witrynę WordPress.

Mitygacja

Należy niezwłocznie zaktualizować plugin 'News and Blog Designer Bundle' do wersji wyższej niż 1.1. Jeśli aktualizacja nie jest jeszcze dostępna, należy dezaktywować lub usunąć plugin oraz ograniczyć możliwość przesyłania plików PHP na serwer. Szczegółowe informacje dostępne są w referencjach producenta i w bazie Wordfence.

Kogo dotyczy

Plugin WordPress 'News and Blog Designer Bundle' we wszystkich wersjach do 1.1 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth Bypass
CWE
Referencje