V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-2332
ANC
Критический

Плагин Export All Posts, Products, Orders, Refunds & Users для WordPress уязвим для PHP Object Injection во всех версиях до и включая 2.13 …

CVSS
9.8
Критический
EPSS
0.01
p48
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Плагин Export All Posts, Products, Orders, Refunds & Users для WordPress уязвим для PHP Object Injection во всех версиях до и включая 2.13 через десериализацию ненадежного ввода в функции 'returnMetaValueAsCustomerInput'. Это позволяет неаутентифицированным атакующим внедрять PHP-объекты. В уязвимом программном обеспечении отсутствует известная цепочка POP, что означает, что эта уязвимость не имеет воздействия, если на сайте не установлены другие плагины или темы, содержащие цепочку POP. Если цепочка POP присутствует через установленный на целевой системе дополнительный плагин или тему, это может позволить атакующему выполнять такие действия, как удаление произвольных файлов, получение конфиденциальных данных или выполнение кода в зависимости от присутствующей цепочки POP.

Теги · CWE
Без аутентификации
CWE-502
CAPEC-586
Затронутые продукты
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.007 · p48
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
Источники данных
ANC