CRITICAL✓ PATCH🇬🇧 English

CVE-2025-53433

PHP Local File Inclusion w motywie WordPress EasyEat (do v1.9.0)

CVSS 9.8v3.1pub. 2025-12-18upd. 2026-04-15

Motyw WordPress EasyEat firmy AncoraThemes w wersjach do 1.9.0 włącznie zawiera podatność PHP Local File Inclusion (LFI), sklasyfikowaną jako CWE-98. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne odczytanie lub wykonanie lokalnych plików na serwerze, co czyni ją podatnością krytyczną.

Pokaż oryginał (EN)

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in AncoraThemes EasyEat easyeat allows PHP Local File Inclusion.This issue affects EasyEat: from n/a through <= 1.9.0.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli nazwy pliku przekazywanej do instrukcji include/require w kodzie PHP motywu. Atakujący może manipulować parametrem wejściowym w taki sposób, aby wskazywał na dowolny plik lokalnie dostępny na serwerze. Nie jest wymagane uwierzytelnienie ani interakcja użytkownika — exploit może zostać przeprowadzony zdalnie przez sieć przy minimalnej złożoności.

Skutki

Atakujący może odczytać poufne pliki systemowe lub konfiguracyjne (np. dane dostępowe do bazy danych), a w sprzyjających warunkach wykonać złośliwy kod PHP prowadzący do pełnego przejęcia kontroli nad serwerem.

Mitygacja

Należy zaktualizować motyw EasyEat do wersji wyższej niż 1.9.0. Jeśli aktualizacja nie jest dostępna, należy niezwłocznie wyłączyć motyw i zapoznać się z informacjami producenta oraz bazą Patchstack pod adresem wskazanym w referencjach.

Kogo dotyczy

Motyw WordPress EasyEat (AncoraThemes) w wersjach od n/a do 1.9.0 włącznie.

Uwagi

Podatność została opublikowana w bazie Patchstack jako błąd w motywie WordPress EasyEat w wersji 1.9.0.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-53433 — PHP Local File Inclusion w motywie WordPress EasyEat (do v1.9.0) — CRITICAL 9.8 | CVEbaza.pl