CVEbaza.plSłownik CWECWE-98
Common Weakness Enumeration

CWE-98

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion')

Kategoria: VariantCVE: 1165
Opis

Aplikacja PHP otrzymuje dane wejściowe z komponentu nadrzędnego, ale nie ogranicza ani nieprawidłowo ogranicza te dane przed ich użyciem w funkcjach "require", "include" lub podobnych. Umożliwia to atakującemu zdalne załadowanie i wykonanie złośliwego kodu.

Description (EN)

The PHP application receives input from an upstream component, but it does not restrict or incorrectly restricts the input before its usage in "require," "include," or similar functions.

Podatności CVE z CWE-98 (1165)
10.0
CVSS
CRITICAL
CVE-2025-25174

Krytyczna podatność typu PHP Local File Inclusion (LFI) w pluginie BeeTeam368 Extensions dla WordPress umożliwia nieuwierzytelnionemu atakującemu zdalne dołączenie dowolnych plików po stronie serwera. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko bez żadnych warunków wstępnych.

pub. 2025-08-14
10.0
CVSS
CRITICAL
CVE-2012-10025

Wtyczka Advanced Custom Fields (ACF) w wersji 3.5.1 i wcześniejszych zawiera podatność Remote File Inclusion (RFI) umożliwiającą nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczną.

pub. 2025-08-05
10.0
CVSS
CRITICAL
CVE-2025-52562

W panelu zarządzania serwerami KVM Convoy (wersje 3.9.0-rc3 do przed 4.4.1) istnieje krytyczna podatność path traversal w komponencie LocaleController. Nieuwierzytelniony zdalny atakujący może wykonać dowolny plik PHP na serwerze, co prowadzi do pełnego przejęcia systemu.

pub. 2025-06-23
9.9
CVSS
CRITICAL
CVE-2026-9559

W Mautic 7 wykryto podatność typu path traversal w funkcji importu kampanii, pozwalającą uwierzytelnionemu użytkownikowi na zapis dowolnych plików PHP poza przeznaczonym katalogiem tymczasowym. Luka jest krytyczna, ponieważ prowadzi do Remote Code Execution w kontekście użytkownika serwera WWW.

pub. 2026-05-29
9.9
CVSS
CRITICAL
CVE-2026-41228

Podatność w Froxlor (przed wersją 2.3.6) umożliwia uwierzytelnionemu użytkownikowi osiągnięcie zdalnego wykonania kodu (RCE) poprzez manipulację parametrem `def_language` w API. Zagrożenie jest krytyczne, ponieważ atakujący może uruchomić dowolny kod PHP z uprawnieniami serwera WWW.

pub. 2026-04-23
9.9
CVSS
CRITICAL
CVE-2025-31340

Podatność w funkcji pobierania informacji o kursie w Wisdom Master Pro (wersje 5.0–5.2) umożliwia zdalnym atakującym wykonanie dowolnych poleceń systemowych. Błąd wynika z nieprawidłowej kontroli nazwy pliku w instrukcjach include/require PHP (PHP Remote File Inclusion).

pub. 2025-04-17
9.9
CVSS
CRITICAL
CVE-2023-5199

The PHP to Page plugin for WordPress is vulnerable Local File Inclusion to Remote Code Execution in versions up to, and including, 0.3 via the 'php-to-page' shortcode. This allows authenticated attackers with subscriber-level permissions or above, to include local file and potentially execute code on the server. While subscribers may need to poison log files or otherwise get a file installed in order to achieve remote code execution, author and above users can upload files by default and achieve remote code execution easily.

pub. 2023-10-30
9.8
CVSS
CRITICAL
CVE-2026-7515

The BetterDocs Pro plugin for WordPress is vulnerable to Local File Inclusion in versions up to, and including, 3.8.0 via the `doc_style` parameter. This makes it possible for unauthenticated attackers to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php file types can be uploaded and included.

pub. 2026-06-19
9.8
CVSS
CRITICAL
CVE-2026-27065

Wtyczka BuilderPress dla WordPress w wersji do 2.0.1 włącznie zawiera podatność PHP Local File Inclusion (LFI), wynikającą z nieprawidłowej kontroli nazw plików w instrukcjach include/require. Podatność uzyskała ocenę CVSS 9.8 (CRITICAL) i może być wykorzystana zdalnie bez uwierzytelnienia.

pub. 2026-03-19
9.8
CVSS
CRITICAL
CVE-2026-28043

Motyw WordPress 'Healer - Doctor, Clinic & Medical' w wersji do 1.0.0 zawiera krytyczną podatność PHP Local File Inclusion (LFI), która pozwala nieuwierzytelnionemu atakującemu na dołączanie lokalnych plików z serwera. Podatność nie wymaga żadnych uprawnień ani interakcji użytkownika, co czyni ją wyjątkowo niebezpieczną.

pub. 2026-03-05
9.8
CVSS
CRITICAL
CVE-2026-0926

Plugin Prodigy Commerce dla WordPress w wersjach do 3.3.0 włącznie zawiera podatność typu Local File Inclusion (LFI) w parametrze 'parameters[template_name]', umożliwiającą nieuwierzytelnionemu atakującemu odczyt lub wykonanie dowolnych plików na serwerze. Ze względu na możliwość wykonania kodu PHP, podatność może prowadzić do pełnego przejęcia kontroli nad serwerem.

pub. 2026-02-19
9.8
CVSS
CRITICAL
CVE-2025-14502

Plugin WordPress 'News and Blog Designer Bundle' w wersjach do 1.1 włącznie zawiera krytyczną podatność Local File Inclusion (LFI), umożliwiającą nieuwierzytelnionym atakującym wykonanie dowolnego kodu PHP na serwerze. Ze względu na brak wymogu uwierzytelnienia i możliwość pełnego przejęcia serwera podatność oceniona jest jako krytyczna (CVSS 9.8).

pub. 2026-01-14
9.8
CVSS
CRITICAL
CVE-2025-53433

Motyw WordPress EasyEat firmy AncoraThemes w wersjach do 1.9.0 włącznie zawiera podatność PHP Local File Inclusion (LFI), sklasyfikowaną jako CWE-98. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne odczytanie lub wykonanie lokalnych plików na serwerze, co czyni ją podatnością krytyczną.

pub. 2025-12-18
9.8
CVSS
CRITICAL
CVE-2025-65656

Dcat Admin w wersji 2.2.3-beta i wcześniejszych zawiera podatność typu file inclusion w pliku admin/src/Extend/VersionManager.php. Podatność posiada krytyczny wynik CVSS 9.8 i może umożliwić atakującemu zdalne wykonanie kodu bez jakiegokolwiek uwierzytelnienia.

pub. 2025-12-02
9.8
CVSS
CRITICAL
CVE-2025-63888

Funkcja read w pliku thinkphp\library\think\template\driver\File.php w ThinkPHP 5.0.24 zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE). Luka jest krytyczna — nie wymaga uwierzytelnienia ani interakcji użytkownika, a atakujący może ją wykorzystać przez sieć.

pub. 2025-11-20
9.8
CVSS
CRITICAL
CVE-2025-41734

Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych plików PHP na urządzeniach z serii Metz-Connect EWIO2. Skutkuje to uzyskaniem pełnego dostępu do urządzenia bez jakiejkolwiek autoryzacji.

pub. 2025-11-18
9.8
CVSS
CRITICAL
CVE-2025-11023

Podatność typu PHP Local File Inclusion w aplikacji AcBakImzala firmy ArkSigner Software and Hardware Inc. umożliwia nieuwierzytelnionemu atakującemu zdalne włączenie dowolnych plików po stronie serwera. Wysoki wynik CVSS 9.8 wskazuje na krytyczne zagrożenie dla poufności, integralności i dostępności systemu.

pub. 2025-10-23
9.8
CVSS
CRITICAL
CVE-2025-7634

Plugin WP Travel Engine – Tour Booking Plugin dla WordPress w wersjach do 6.6.7 włącznie zawiera podatność Local File Inclusion umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu PHP. Podatność jest szczególnie groźna ze względu na brak wymogu jakiegokolwiek uwierzytelnienia oraz dostępność z sieci.

pub. 2025-10-09
9.8
CVSS
CRITICAL
CVE-2025-7721

Plugin JoomSport dla WordPress (wersje do 5.7.3 włącznie) zawiera krytyczną podatność typu Local File Inclusion (LFI) w parametrze task, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie kodu PHP na serwerze. Podatność jest szczególnie groźna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2025-10-03
9.8
CVSS
CRITICAL
CVE-2025-48293

Podatność typu PHP Local File Inclusion w wtyczce Geo Mashup dla WordPress umożliwia nieuwierzytelnionemu atakującemu zdalne dołączenie lokalnych plików PHP. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko naruszenia poufności, integralności i dostępności systemu.

pub. 2025-08-14
Pokazano 20 z 1165 podatności
Informacje
ID: CWE-98
Typ: Variant
Podatności: 1165
MITRE CWE ↗
← Słownik CWE