CRITICAL✓ PATCH🇬🇧 English

CVE-2025-48293

PHP Local File Inclusion w wtyczce WordPress Geo Mashup (≤ 1.13.16)

CVSS 9.8v3.1pub. 2025-08-14upd. 2026-04-23

Podatność typu PHP Local File Inclusion w wtyczce Geo Mashup dla WordPress umożliwia nieuwierzytelnionemu atakującemu zdalne dołączenie lokalnych plików PHP. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko naruszenia poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in Dylan Kuhn Geo Mashup geo-mashup allows PHP Local File Inclusion.This issue affects Geo Mashup: from n/a through <= 1.13.16.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli nazwy pliku w instrukcjach include/require języka PHP (CWE-98). Atakujący może manipulować parametrami wejściowymi w taki sposób, aby aplikacja dołączyła i wykonała arbitralny lokalny plik PHP na serwerze. Nie jest wymagane uwierzytelnienie ani interakcja użytkownika, a atak możliwy jest bezpośrednio przez sieć.

Skutki

Atakujący może uzyskać pełen dostęp do poufnych danych na serwerze, zmodyfikować zawartość witryny lub doprowadzić do jej niedostępności. W sprzyjających okolicznościach możliwe jest również zdalne wykonanie kodu (RCE) na serwerze docelowym.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — zaktualizować wtyczkę Geo Mashup do wersji wyższej niż 1.13.16 niezwłocznie po udostępnieniu przez autora lub repozytorium WordPress.

Kogo dotyczy

Wtyczka Geo Mashup autorstwa Dylan Kuhn dla WordPress w wersjach od n/a do 1.13.16 włącznie.

Uwagi

Szczegóły techniczne podatności oraz informacje o poprawionej wersji dostępne są w bazie Patchstack pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-48293 — PHP Local File Inclusion w wtyczce WordPress Geo Mashup (≤ 1.13.16) — CRITICAL 9.8 | CVEbaza.pl