CVE-2025-11988 in Crypto Plugininformazioni

Riassunto

di VulDB • 17/06/2026

Il plugin Crypto per WordPress è vulnerabile alla manipolazione non autorizzata dei dati in tutte le versioni fino alla 2.22 inclusa. Ciò è dovuto al fatto che il plugin registra un'azione AJAX non autenticata (wp_ajax_nopriv_crypto_connect_ajax_process) che consente di chiamare il metodo crypto_delete_json con solo una verifica del nonce pubblicamente disponibile. Questo rende possibile per gli attaccanti non autenticati eliminare file JSON specifici corrispondenti al pattern *_pending.json all'interno della directory wp-content/uploads/yak/, causando perdita di dati e denial of service per i flussi di lavoro del plugin che si basano su questi artefatti.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Divulgazione

11/11/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00332

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!