Fancy Product Designer | WooCommerce WordPress <= 6.4.8 - Unauthenticated Full Path Disclosure via 'pdf' Parameter 漏洞信息(CVE-2025-15526)

一、漏洞 CVE-2025-15526 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # Fancy Product Designer <=6.4.8 路径泄露漏洞

## 概述
WordPress 的 Fancy Product Designer 插件在所有版本至 6.4.8（含）中存在完整路径泄露漏洞。

## 影响版本
所有版本 ≤ 6.4.8。

## 细节
该漏洞源于 PDF 上传功能中不正确的错误处理机制，导致服务器文件系统路径和堆栈跟踪信息暴露在错误消息中。

## 影响
未经身份验证的攻击者可利用该漏洞获取 Web 应用的完整服务器路径。虽然泄露的信息本身无法直接造成损害，但可为其他攻击提供辅助信息。需结合其他漏洞才能对目标网站造成实际危害。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Fancy Product Designer | WooCommerce WordPress <= 6.4.8 - Unauthenticated Full Path Disclosure via 'pdf' Parameter

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Fancy Product Designer plugin for WordPress is vulnerable to Full Path Disclosure in all versions up to, and including, 6.4.8. This is due to improper error handling in the PDF upload functionality that exposes server filesystem paths and stack traces in error messages. This makes it possible for unauthenticated attackers to retrieve the full path of the web application, which can be used to aid other attacks. The information displayed is not useful on its own, and requires another vulnerability to be present for damage to an affected website.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

通过错误消息导致的信息暴露

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-15526 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-15526 的情报信息

标题： 6.5.0 : FPD | Support Center -- 🔗来源链接

标签：

神龙速读：

                                        - 升级版本: 6.5.0
- 开始此话题的用户: Rafael D
- 开始时间: 2个月前
- 关键信息: 上传的安全性得到了改进

标题： ERROR: The request could not be satisfied -- 🔗来源链接

标签：

神龙速读：

                                        从这个网页截图中可以获取到以下关于漏洞的关键信息：

- **HTTP状态码**：403 Forbidden
- **错误信息**：Request blocked
- **原因描述**：Connect to server failed for this app or website at this time. There might be too much traffic or a configuration error.
- **可能的问题**：
  - 过重的流量（Too much traffic）
  - 配置错误（Configuration error）
- **建议措施**：
  - 尝试稍后重试（Try again later）
  - 联系应用程序或网站所有者（Contact the app or website owner）
  - 如果通过CloudFront提供内容给客户，可以查看CloudFront文档进行故障排除（Review CloudFront documentation）

- **具体信息**：
  - **生成来源**：By cloudfront (CloudFront)
  - **请求ID**：03SVnJLLJalzNiyHB2KdTQTYLH1370ivTfr14Ybx4tpEI6Y9ZvXA==

这些信息表明访问被阻止，可能是由于流量过大或配置问题引起的。如果需要进一步排查，可以通过CloudFront文档进行相应的故障排除。

ERROR: The request could not be satisfied

https://nvd.nist.gov/vuln/detail/CVE-2025-15526

四、漏洞 CVE-2025-15526 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-15526 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-15526 的公开POC

三、漏洞 CVE-2025-15526 的情报信息

四、漏洞 CVE-2025-15526 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-15526 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-15526 的公开POC

三、漏洞 CVE-2025-15526 的情报信息

四、漏洞 CVE-2025-15526 的评论

发表评论

一、漏洞 CVE-2025-15526 基础信息