PT-2020-15645 · Gvectors · Wpdiscuz
Publicado
2020-08-24
·
Atualizado
2025-12-23
·
CVE-2020-24186
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin gVectors wpDiscuz, versões 7.0 a 7.0.4
Descrição
Existe uma vulnerabilidade de execução remota de código, permitindo que usuários não autenticados enviem qualquer tipo de arquivo, incluindo arquivos PHP, por meio da ação AJAX
wmuUploadFiles.Recomendações
Para as versões 7.0 a 7.0.4, atualize para uma versão fora desse intervalo para resolver a vulnerabilidade.
Como solução temporária, considere restringir o acesso à ação AJAX
wmuUploadFiles para impedir uploads de arquivos por usuários não autenticados.Exploit
Correção
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wpdiscuz