CRITICAL✓ PATCH🇬🇧 English

CVE-2025-23922

CSRF umożliwiający upload web shell w pluginie iSpring Embedder (WordPress)

CVSS 10.0v3.1pub. 2025-01-16upd. 2026-04-23

Podatność Cross-Site Request Forgery (CSRF) w pluginie WordPress iSpring Embedder w wersji 1.0 i wcześniejszych pozwala nieuprawnionemu atakującemu na przesłanie złośliwego web shell na serwer. Ze względu na brak wymagań uwierzytelnienia i możliwość zdalnego wykonania kodu, podatność otrzymała maksymalny wynik CVSS 10.0.

Pokaż oryginał (EN)

Cross-Site Request Forgery (CSRF) vulnerability in Harsh iSpring Embedder embed-ispring allows Upload a Web Shell to a Web Server.This issue affects iSpring Embedder: from n/a through <= 1.0.

🤖 Analiza AI
Jak działa

Atakujący wykorzystuje brak mechanizmu weryfikacji żądań CSRF w pluginie iSpring Embedder, co pozwala na nakłonienie zalogowanego użytkownika WordPress (np. administratora) do nieświadomego wysłania spreparowanego żądania HTTP. Żądanie to inicjuje upload pliku na serwer bez wiedzy i zgody użytkownika. W ten sposób atakujący może umieścić na serwerze web shell — złośliwy skrypt umożliwiający zdalne wykonywanie poleceń systemowych.

Skutki

Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu na serwerze (RCE za pośrednictwem web shell), co może prowadzić do pełnego przejęcia kontroli nad serwerem, wycieku danych oraz naruszenia integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się dezaktywację lub usunięcie pluginu iSpring Embedder ze wszystkich instalacji WordPress.

Kogo dotyczy

Plugin WordPress iSpring Embedder (embed-ispring) w wersji 1.0 i wszystkich wcześniejszych wersjach.

Uwagi

Podatność została zgłoszona i udokumentowana przez serwis Patchstack. Dotyczy pluginu WordPress dostępnego jako 'embed-ispring'. Brak dostępnego patcha potwierdzony w momencie publikacji — zalecana weryfikacja bieżącej dostępności aktualizacji w repozytorium WordPress.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-23922 — CSRF umożliwiający upload web shell w pluginie iSpring Embedder (WordPress) — CRITICAL 10.0 | CVEbaza.pl