CRITICAL✓ PATCH🇬🇧 English

CVE-2025-25174

PHP Local File Inclusion w pluginie BeeTeam368 Extensions dla WordPress

CVSS 10.0v3.1pub. 2025-08-14upd. 2026-04-23

Krytyczna podatność typu PHP Local File Inclusion (LFI) w pluginie BeeTeam368 Extensions dla WordPress umożliwia nieuwierzytelnionemu atakującemu zdalne dołączenie dowolnych plików po stronie serwera. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko bez żadnych warunków wstępnych.

Pokaż oryginał (EN)

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in beeteam368 BeeTeam368 Extensions beeteam368-extensions allows PHP Local File Inclusion.This issue affects BeeTeam368 Extensions: from n/a through <= 1.9.4.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli nazwy pliku używanej w instrukcjach include/require języka PHP (CWE-98). Atakujący może dostarczyć spreparowaną ścieżkę do pliku, którą plugin następnie dołącza bez odpowiedniej walidacji. Pozwala to na odczytanie lub wykonanie lokalnych plików systemu operacyjnego serwera, do których proces PHP ma dostęp. Exploit nie wymaga uwierzytelnienia, interakcji użytkownika ani specjalnej konfiguracji środowiska.

Skutki

Atakujący może odczytać poufne pliki systemowe (np. konfiguracje, dane uwierzytelniające) oraz potencjalnie wykonać kod PHP obecny na serwerze, prowadząc do pełnego przejęcia kontroli nad aplikacją i serwerem, ujawnienia danych oraz naruszenia integralności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się natychmiastową aktualizację pluginu do wersji wyższej niż 1.9.4 lub jego deaktywację i usunięcie do czasu pojawienia się poprawionej wersji. Szczegóły dostępne w bazie Patchstack pod wskazanym adresem referencyjnym.

Kogo dotyczy

Plugin BeeTeam368 Extensions dla WordPress w wersjach od początku istnienia do 1.9.4 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje