CRITICAL✓ PATCH🇬🇧 English

CVE-2025-32927

PHP Object Injection w pluginie WordPress FoodBakery (do wersji 3.3)

CVSS 9.8v3.1pub. 2025-05-19upd. 2026-04-23

Krytyczna podatność deserializacji niezaufanych danych w pluginie FoodBakery dla WordPress umożliwia atakującemu wstrzyknięcie obiektów PHP (Object Injection). Ze względu na brak wymagań dotyczących uwierzytelnienia oraz sieciowy wektor ataku, podatność stwarza poważne ryzyko dla wszystkich witryn korzystających z tego pluginu.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Chimpstudio FoodBakery wp-foodbakery allows Object Injection.This issue affects FoodBakery: from n/a through <= 3.3.

🤖 Analiza AI
Jak działa

Podatność (CWE-502) wynika z nieprawidłowej deserializacji danych dostarczonych przez użytkownika. Atakujący może spreparować złośliwy payload i przesłać go do podatnego punktu wejścia pluginu, co skutkuje wstrzyknięciem i wykonaniem obiektu PHP po stronie serwera. Jeśli w aplikacji lub zainstalowanych komponentach istnieją odpowiednie łańcuchy gadgetów (POP chains), możliwe jest eskalowanie ataku do wykonania dowolnego kodu lub innych krytycznych operacji.

Skutki

Atakujący bez żadnego uwierzytelnienia może potencjalnie uzyskać pełną kontrolę nad serwerem, w tym możliwość odczytu i modyfikacji danych, usunięcia plików lub wykonania dowolnego kodu (RCE), w zależności od dostępnych łańcuchów gadgetów.

Mitygacja

Należy niezwłocznie zaktualizować plugin FoodBakery do wersji wyższej niż 3.3. Jeśli aktualizacja nie jest dostępna, należy dezaktywować i usunąć plugin do czasu wydania patcha. Szczegóły dotyczące poprawki są dostępne w bazie Patchstack pod adresem wskazanym w referencjach.

Kogo dotyczy

Plugin FoodBakery (wp-foodbakery) autorstwa Chimpstudio we wszystkich wersjach do 3.3 włącznie (from n/a through <= 3.3) dla platformy WordPress.

Uwagi

Podatność została zgłoszona i udokumentowana przez Patchstack. Brak publicznego exploitu oraz wpisu w CISA KEV na dzień publikacji (2025-05-19).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Chimpgroup Foodbakery

    APP
    Chimpgroup
    ≤ 3.3
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2021-24389MEDIUM6.1ten sam produkt

The WP Foodbakery WordPress plugin before 2.2, used in the FoodBakery WordPress theme before 2.2 did not prope...

CVE-2024-11284CRITICAL9.8PL ✓ten sam vendor

WP JobHunt: nieuwierzytelnione przejęcie konta i privilege escalation

CVE-2024-11285CRITICAL9.8PL ✓ten sam vendor

WP JobHunt dla WordPress – przejęcie konta przez zmianę adresu e-mail

CVE-2024-11286CRITICAL9.8PL ✓ten sam vendor

Authentication bypass w WP JobHunt – przejęcie konta administratora

CVE-2022-0316CRITICAL9.8ten sam vendor

The WeStand WordPress theme before 2.1, footysquare WordPress theme, aidreform WordPress theme, statfort WordP...