CVE-2025-34104

An authenticated remote code execution vulnerability exists in Piwik (now Matomo) versions prior to 3.0.3 via the plugin upload mechanism. In vulnerable versions, an authenticated user with Superuser privileges can upload and activate a malicious plugin (ZIP archive), leading to arbitrary PHP code execution on the underlying system. Starting with version 3.0.3, plugin upload functionality is disabled by default unless explicitly enabled in the configuration file.
CVSS

No CVSS.

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Existe una vulnerabilidad de ejecución remota de código autenticado en versiones de Piwik (ahora Matomo) anteriores a la 3.0.3 a través del mecanismo de carga de complementos. En versiones vulnerables, un usuario autenticado con privilegios de superusuario puede cargar y activar un complemento malicioso (archivo ZIP), lo que provoca la ejecución de código PHP arbitrario en el sistema subyacente. A partir de la versión 3.0.3, la función de carga de complementos está deshabilitada por defecto a menos que se habilite explícitamente en el archivo de configuración.

15 Jul 2025, 13:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-07-15 13:15

Updated : 2026-06-17 09:13


NVD link : CVE-2025-34104

Mitre link : CVE-2025-34104

CVE.ORG link : CVE-2025-34104


JSON object : View

Products Affected

No product.

CWE
CWE-306

Missing Authentication for Critical Function

CWE-434

Unrestricted Upload of File with Dangerous Type