Wordpress Plugin Catch Themes Demo Import V 1.6.1 - 远程代码执行

2022-01-20 09:21:47 浏览数 (1)

CVE-2021-39352

CVE 描述:

由于文件类型验证不足,Catch Themes Demo Import WordPress 插件很容易通过 ~/inc/CatchThemesDemoImport.php 文件中的导入功能上传任意文件,最高版本为 1.7。这使得具有管理权限的攻击者可以上传可用于实现远程代码执行的恶意文件。

  • https://nvd.nist.gov/vuln/detail/CVE-2021-39352

漏洞利用数据库:

  • https://www.exploit-db.com/exploits/50580

漏洞描述:

  • 供应商主页:https ://wordpress.org/plugins/catch-themes-demo-import/
  • 软件链接: https ://downloads.wordpress.org/plugin/catch-themes-demo-import.1.6.1.zip
  • 版本:最高 1.7
  • 在 Ubuntu 18.04 上测试

0 人点赞