CRITICAL🇬🇧 English

CVE-2025-7721

RCE przez Local File Inclusion w pluginie JoomSport dla WordPress

CVSS 9.8v3.1pub. 2025-10-03upd. 2026-04-15

Plugin JoomSport dla WordPress (wersje do 5.7.3 włącznie) zawiera krytyczną podatność typu Local File Inclusion (LFI) w parametrze task, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu PHP na serwerze. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

The JoomSport – for Sports: Team & League, Football, Hockey & more plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 5.7.3 via the task parameter. This makes it possible for unauthenticated attackers to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php file types can be uploaded and included.

🤖 Analiza AI
Jak działa

Podatność (CWE-98: PHP Remote File Inclusion) wynika z braku odpowiedniej walidacji wartości parametru task przekazywanego przez użytkownika w klasie class-jsport-controller.php. Atakujący może za pomocą spreparowanego żądania HTTP wskazać dowolny plik .php obecny na serwerze, który następnie zostanie dołączony i wykonany przez interpreter PHP. W scenariuszu, w którym atakujący ma możliwość wcześniejszego przesłania pliku .php na serwer (np. poprzez mechanizm upload), podatność ta prowadzi bezpośrednio do zdalnego wykonania kodu (RCE).

Skutki

Nieuwierzytelniony atakujący może wykonać dowolny kod PHP na serwerze, ominąć mechanizmy kontroli dostępu oraz uzyskać dostęp do poufnych danych. W sprzyjających warunkach możliwe jest przejęcie pełnej kontroli nad serwerem.

Mitygacja

Należy niezwłocznie zaktualizować plugin JoomSport do wersji wyższej niż 5.7.3. Poprawka dostępna jest w repozytorium WordPress pod changesetem 3371353. Do czasu aktualizacji zaleca się dezaktywację pluginu na stronach produkcyjnych.

Kogo dotyczy

Plugin JoomSport – for Sports: Team & League, Football, Hockey & more dla WordPress we wszystkich wersjach do 5.7.3 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth Bypass
CWE
Referencje
CVE-2025-7721 — RCE przez Local File Inclusion w pluginie JoomSport dla WordPress — CRITICAL 9.8 | CVEbaza.pl