免费扫描
CRITICALCVE-2025-49447CVSS 10

WordPress FW Food Menu <= 6.0.0 - 任意文件上传漏洞

平台

wordpress

组件

fw-food-menu

修复版本

6.0.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月
在NVD查看
保存
正在翻译为您的语言…

CVE-2025-49447 describes an Arbitrary File Access vulnerability within the FW Food Menu component developed by Fastw3b LLC. This flaw enables unauthorized users to upload files of any type, regardless of intended restrictions, potentially leading to severe consequences. The vulnerability impacts versions of FW Food Menu prior to 6.0.1. A patch is available in version 6.0.1.

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

FW Food Menu中的CVE-2025-49447漏洞允许不受限制的文件上传,包括危险文件类型的文件。这意味着攻击者可以通过插件的文件上传功能上传恶意文件,例如PHP脚本、可执行文件或包含恶意代码的文件。由于缺乏适当的文件类型验证,因此可以利用此漏洞。如果攻击者成功上传并执行恶意文件,他们可能会破坏网站安全,从而能够在服务器上执行任意代码、窃取敏感数据、修改内容或完全控制网站。由于FW Food Menu插件被广泛使用,因此此漏洞尤其严重,这意味着许多网站可能存在漏洞。CVSS评分10.0表示严重程度为关键。

利用背景

攻击者可以通过发送包含伪装为允许文件类型的恶意文件的HTTP请求来利用此漏洞。服务器端缺乏验证允许在没有验证的情况下上传文件。上传后,攻击者可能会根据Web服务器的配置尝试通过URL访问文件。如果服务器配置为执行PHP脚本,则攻击者可能会执行恶意文件,从而获得对网站的控制权。漏洞利用的复杂性较低,因为它不需要高级技术技能。由于插件的广泛采用以及漏洞的容易性,因此漏洞利用的可能性很高。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.10% (29% 百分位)

CISA SSVC

利用情况none
可自动化yes
技术影响total

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H10.0CRITICALAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件fw-food-menu
供应商Fastw3b LLC
影响范围修复版本
n/a – 6.0.06.0.1

弱点分类 (CWE)

CWE-434

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

减轻此漏洞的解决方案是更新到FW Food Menu的6.0.1或更高版本。此版本包含修复程序,可在允许上传之前正确验证文件类型。如果无法立即更新,建议实施其他安全措施,例如通过服务器权限限制对文件上传目录的访问、使用Web应用程序防火墙(WAF)来过滤恶意文件以及监控服务器日志以查找可疑活动。应执行全面的网站安全审计,以识别和修复任何其他潜在漏洞。应尽快执行更新,以最大程度地降低漏洞利用的风险。

修复方法翻译中…

Actualice el plugin FW Food Menu a la última versión disponible para solucionar la vulnerabilidad de subida de archivos arbitrarios.  Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress.  Asegúrese de realizar una copia de seguridad completa de su sitio web antes de aplicar cualquier actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-49447 是什么 — FW Food Menu 中的 Arbitrary File Access?

CVSS评分10.0是CVSS量表上的最高分,表明存在需要立即关注的关键漏洞。

FW Food Menu 中的 CVE-2025-49447 是否会影响我?

实施其他安全措施,例如限制对上传目录的访问以及使用WAF。

如何修复 FW Food Menu 中的 CVE-2025-49447?

检查您使用的FW Food Menu版本。如果版本早于6.0.1,则容易受到攻击。

CVE-2025-49447 是否正在被积极利用?

有一些漏洞扫描器可以检测此漏洞。请咨询您的安全提供商。

在哪里可以找到 FW Food Menu 关于 CVE-2025-49447 的官方安全通告?

可以上传PHP文件、可执行文件以及包含恶意代码的任何文件。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE