Informazioni sul CVE-2025-2006
Inline Image Upload for BBPress <= 1.1.19 – Authenticated (Subscriber+) Arbitrary File Upload
CWE ID: CWE-434
Base Score (CVSS): N/A
CVE: CVE-2025-2006
Descrizione: L’upload di immagini inline per il plugin BBPress per WordPress è vulnerabile agli upload di file arbitrari a causa della mancata validazione del tipo di file nella funzionalità di upload, in tutte le versioni fino e inclusa alla 1.1.19. Ciò consente agli attaccanti autenticati, con accesso di sottoscrittore e superiore, di caricare file arbitrari sul server del sito compromesso, il che potrebbe rendere possibile l’esecuzione di codice remoto. Questo potrebbe essere sfruttabile dagli attaccanti non autenticati quando la impostazione “Permetti agli utenti ospiti senza account di creare temi e risposte” è abilitata.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://www.wordfence.com/threat-intel/vulnerabilities/id/df09af41-399a-4878-8420-721f1198d895?source=cve
- https://plugins.trac.wordpress.org/browser/image-upload-for-bbpress/tags/1.1.19/bbp-image-upload.php#L136
Prodotti interessati
- aspengrovestudios – Inline Image Upload for BBPress
Relazioni con altri prodotti
Produttore:aspengrovestudios
Prodotto: Inline Image Upload for BBPress
Anno: 2025
CWE: CWE-434
CVSS: 0.0