您好!
永信至诚报送1个漏洞预警WordPress Plugin WP All Import 任意文件上传漏洞-CVE-2022-3418(CNNVD-202211-2187)。
1、产品描述
WP All Import是一款WordPress的插件。
2、影响产品或组件及版本
WP All Import < 3.6.9
3、受影响资产情况
通过资产测绘系统fofa发现,第一名,第二名,第三名。
4、危害等级
高危
5、技术细节表述
WP All Import在3.6.9版本之前存在一个任意文件上传漏洞,由于WP All Import没有对管理者上传的文件进行校验并直接进行解压操作,这会导致压缩包中的恶意文件被解压出来,攻击者可以通过访问该恶意文件Getshell。
6、修补措施
更新至3.6.9以上版本,下载链接https://wpscan.com/vulnerability/ccbb74f5-1b8f-4ea6-96bc-ddf62af7f94d
7、漏洞来源
https://nvd.nist.gov/vuln/detail/CVE-2022-3418
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论