Informazioni sul CVE-2025-2332

Export All Posts, Products, Orders, Refunds & Users <= 2.13 – Unauthenticated PHP Object Injection

CWE ID: CWE-502

Base Score (CVSS): N/A

CVE: CVE-2025-2332

Descrizione: Il plugin “Export All Posts, Products, Orders, Refunds & Users” per WordPress è vulnerabile a PHP Object Injection in tutte le versioni fino a e inclusa la 2.13 tramite deserializzazione di input non fidato nella funzione ‘returnMetaValueAsCustomerInput’. Questo permette agli attaccanti non autenticati di iniettare un oggetto PHP. Non esiste una catena POP nota nel software vulnerabile, il che significa che questa vulnerabilità ha un impatto solo se un plugin o tema contenente una catena POP è installato sul sito. Se una catena POP è presente tramite un plugin o tema aggiuntivo installato sul sistema target, potrebbe consentire all’attaccante di eseguire azioni come eliminare file arbitrari, recuperare dati sensibili o eseguire codice in base alla catena POP presente.

Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 9.8 (High)

Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	N	Network	L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	N	None	Non sono richiesti privilegi.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	H	High	Grave impatto sulla riservatezza.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	H	High	Rende il sistema inutilizzabile.

Riferimenti esterni

Prodotti interessati

smackcoders – Export All Posts, Products, Orders, Refunds & Users

Relazioni con altri prodotti

Produttore:Smackcoders
Prodotto: Export All Posts
Anno: 2025
CWE: CWE-502
CVSS: 0.0

Produttore:Smackcoders
Prodotto: Products
Anno: 2025
CWE: CWE-502
CVSS: 0.0

Produttore:Smackcoders
Prodotto: Orders
Anno: 2025
CWE: CWE-502
CVSS: 0.0

Produttore:Smackcoders
Prodotto: Refunds & Users
Anno: 2025
CWE: CWE-502
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2025)