CRITICAL✓ PATCH🇬🇧 English

CVE-2025-32642

CSRF umożliwiający Remote Code Execution w WordPress plugin Vite Coupon

CVSS 10.0v3.1pub. 2025-04-09upd. 2026-04-23

Wtyczka Vite Coupon do WordPress w wersjach do 1.0.9 zawiera krytyczną podatność typu Cross-Site Request Forgery (CSRF), która umożliwia atakującemu zdalne wykonanie kodu (RCE). Podatność otrzymała maksymalną ocenę CVSS 10.0, co czyni ją ekstremalnie groźną dla każdej witryny korzystającej z tej wtyczki.

Pokaż oryginał (EN)

Cross-Site Request Forgery (CSRF) vulnerability in appsbd Vite Coupon vite-coupon allows Remote Code Inclusion.This issue affects Vite Coupon: from n/a through <= 1.0.9.

🤖 Analiza AI
Jak działa

Atakujący może nakłonić uwierzytelnionego administratora witryny WordPress do odwiedzenia spreparowanej strony lub kliknięcia złośliwego odnośnika, co wywoła nieautoryzowane żądanie HTTP w jego imieniu (CSRF). Brak odpowiedniej weryfikacji tokenu CSRF w krytycznych punktach końcowych wtyczki Vite Coupon pozwala na dołączenie i wykonanie zdalnego kodu (Remote Code Inclusion) na serwerze. Atak nie wymaga żadnej autoryzacji po stronie atakującego ani interakcji innej niż skłonienie ofiary do wykonania jednej akcji w przeglądarce.

Skutki

Skuteczny atak prowadzi do pełnego przejęcia kontroli nad serwerem — atakujący może wykonać dowolny kod, uzyskać dostęp do poufnych danych, modyfikować treść witryny oraz naruszyć integralność i dostępność całego systemu.

Mitygacja

Należy natychmiast zaktualizować wtyczkę Vite Coupon do wersji wyższej niż 1.0.9. Jeśli aktualizacja nie jest jeszcze dostępna, należy niezwłocznie dezaktywować i usunąć wtyczkę. Szczegóły dotyczące patcha dostępne są w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Wtyczka WordPress Vite Coupon (appsbd) w wersjach od początku do 1.0.9 włącznie.

Uwagi

Podatność zgłoszona i opisana przez Patchstack. Wektor ataku sieciowy, brak wymagań co do uprawnień (PR:N) i zmieniony zakres (S:C) potęgują krytyczność mimo mechanizmu wymagającego interakcji użytkownika (UI:N wskazuje brak wymaganej interakcji po stronie atakującego).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-32642 — CSRF umożliwiający Remote Code Execution w WordPress plugin Vite Coupon — CRITICAL 10.0 | CVEbaza.pl