CRITICAL✓ PATCH🇬🇧 English

CVE-2025-49408

Templately (WordPress) — ujawnienie wrażliwych danych w przesyłanych żądaniach

CVSS 10.0v3.1pub. 2025-08-20upd. 2026-04-28

Wtyczka Templately dla WordPress w wersjach do 3.2.7 włącznie zawiera podatność polegającą na umieszczaniu wrażliwych informacji w przesyłanych danych (CWE-201). Luka umożliwia nieuwierzytelnionemu atakującemu zdalne odczytanie osadzonych wrażliwych danych, co przy ocenie CVSS 10.0 czyni ją krytyczną.

Pokaż oryginał (EN)

Insertion of Sensitive Information Into Sent Data vulnerability in WPDeveloper Templately allows Retrieve Embedded Sensitive Data. This issue affects Templately: from n/a through 3.2.7.

🤖 Analiza AI
Jak działa

Podatność polega na tym, że wtyczka nieprawidłowo dołącza wrażliwe informacje do danych wysyłanych w odpowiedziach lub żądaniach sieciowych. Atakujący może przechwycić lub w inny sposób pobrać te dane bez konieczności uwierzytelniania i bez żadnej interakcji ze strony użytkownika. Ze względu na wektor sieciowy (AV:N) oraz brak wymagań dotyczących uprawnień (PR:N) i interakcji użytkownika (UI:N), atak może być przeprowadzony zdalnie przez dowolną osobę mającą dostęp do sieci.

Skutki

Atakujący może uzyskać dostęp do wrażliwych danych osadzonych w przesyłanych informacjach, co może prowadzić do naruszenia poufności, integralności i dostępności systemu — w tym potencjalnie do przejęcia poświadczeń lub dalszej eskalacji ataku.

Mitygacja

Należy zaktualizować wtyczkę Templately do wersji wyższej niż 3.2.7. Szczegółowe informacje o dostępnym patchu znajdują się w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Wtyczka WPDeveloper Templately dla WordPress w wersjach od n/a do 3.2.7 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-49408 — Templately (WordPress) — ujawnienie wrażliwych danych w przesyłanych żądaniach — CRITICAL 10.0 | CVEbaza.pl