Wordpress Plugin SP Project & Document Manager 4.21 - 远程代码执行

CVE-2021-24347

CVE 描述：

4.22 之前的 SP Project & Document Manager WordPress 插件允许用户上传文件，但是该插件试图通过检查文件扩展名来阻止上传可以在服务器上执行的 php 和其他类似文件。发现更改文件扩展名的大小写仍然可以上传php文件，例如从“php”到“pHP”。

• https://nvd.nist.gov/vuln/detail/CVE-2021-24347

漏洞利用数据库：

• https://www.exploit-db.com/exploits/50115

漏洞描述：

• 供应商主页：https ://smartypantsplugins.com/
• 软件链接：https ://downloads.wordpress.org/plugin/sp-client-document-manager.4.21.zip
• 版本：4.22 之前
• 在 Ubuntu 18.04 上测试