V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-12844
ANC
Высокий

Плагин AI Engine для WordPress уязвим для инъекций объектов PHP через дезериаизацию PHAR во всех версиях до 3.1.8 путем десериализации нена…

CVSS
7.1
Высокий
EPSS
0.00
p27
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Плагин AI Engine для WordPress уязвим для инъекций объектов PHP через дезериаизацию PHAR во всех версиях до 3.1.8 путем десериализации ненадежного ввода в функциях «rest_simpleTranscribeAudio» и «rest_simpleVisionQuery». Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчика и выше вводить объект PHP. Никакая известная цепочка POP не присутствует в уязвимом программном обеспечении, что означает, что эта уязвимость не имеет никакого влияния, если на сайте не установлен другой плагин или тема, содержащая цепочку POP. Если цепочка POP присутствует через дополнительный плагин или тему, установленную в целевой системе, это может позволить злоумышленнику выполнять такие действия, как удаление произвольных файлов, извлечение конфиденциальных данных или выполнение кода в зависимости от присутствующей цепочки POP.

Теги · CWE
CWE-502
CAPEC-586
Затронутые продукты
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.004 · p27
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается