您好！

永信至诚报送1个漏洞预警WordPress Plugin WP All Import 任意文件上传漏洞-CVE-2022-3418（CNNVD-202211-2187）。

1、产品描述

WP All Import是一款WordPress的插件。

2、影响产品或组件及版本

WP All Import < 3.6.9

3、受影响资产情况

通过资产测绘系统fofa发现，第一名，第二名，第三名。

4、危害等级

高危

5、技术细节表述

WP All Import在3.6.9版本之前存在一个任意文件上传漏洞，由于WP All Import没有对管理者上传的文件进行校验并直接进行解压操作，这会导致压缩包中的恶意文件被解压出来，攻击者可以通过访问该恶意文件Getshell。

6、修补措施

更新至3.6.9以上版本，下载链接https://wpscan.com/vulnerability/ccbb74f5-1b8f-4ea6-96bc-ddf62af7f94d

7、漏洞来源

https://nvd.nist.gov/vuln/detail/CVE-2022-3418