CRITICAL✓ PATCH🇬🇧 English

CVE-2025-50002

Nieograniczony upload pliku w motywie WordPress Energia — Web Shell

CVSS 10.0v3.1pub. 2026-01-22upd. 2026-04-27

Motyw WordPress Energia (do wersji 1.1.2 włącznie) zawiera krytyczną podatność umożliwiającą nieautoryzowany upload dowolnego pliku na serwer, w tym złośliwego web shella. Podatność nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni ją ekstremalnie niebezpieczną.

Pokaż oryginał (EN)

Unrestricted Upload of File with Dangerous Type vulnerability in Farost Energia energia allows Upload a Web Shell to a Web Server.This issue affects Energia: from n/a through <= 1.1.2.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-434 (Unrestricted Upload of File with Dangerous Type) polega na braku odpowiedniej walidacji typu i zawartości przesyłanego pliku po stronie serwera. Atakujący może przesłać plik wykonywalny (np. PHP web shell) bezpośrednio na serwer bez konieczności posiadania jakichkolwiek uprawnień. Po umieszczeniu pliku na serwerze możliwe jest jego zdalne wywołanie przez przeglądarkę lub żądanie HTTP, co skutkuje wykonaniem złośliwego kodu.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez wykonanie dowolnych poleceń systemowych (RCE) za pomocą przesłanego web shella. Możliwa jest kradzież danych, modyfikacja treści serwisu, lateral movement w infrastrukturze oraz trwałe przejęcie serwera.

Mitygacja

Należy niezwłocznie usunąć lub wyłączyć motyw Energia do czasu wydania poprawionej wersji przez producenta. Zaleca się monitorowanie katalogu uploads i innych lokalizacji zapisywalnych pod kątem nieznanych plików PHP. Należy zastosować patche dostępne u producenta zgodnie z referencjami (Patchstack).

Kogo dotyczy

Motyw WordPress Farost Energia we wszystkich wersjach od n/a do 1.1.2 włącznie.

Uwagi

Podatność została zgłoszona i udokumentowana przez Patchstack. Dotyczy motywu WordPress dostępnego publicznie. Maksymalny wynik CVSS 10.0 wynika z braku wymagań co do uwierzytelnienia, interakcji użytkownika oraz pełnego zakresu wpływu na poufność, integralność i dostępność z przełamaniem granic zakresu (S:C).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2025-50002 — Nieograniczony upload pliku w motywie WordPress Energia — Web Shell — CRITICAL 10.0 | CVEbaza.pl