PT-2022-13964 · Unknown · Wp All Import
Yangkang
·
Publicado
2022-07-18
·
Atualizado
2023-10-24
·
CVE-2022-1565
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do WP All Import até a 3.6.7, inclusive
Descrição
O problema está relacionado ao upload arbitrário de arquivos devido à falta de validação do tipo de arquivo no arquivo wp all import get gz.php. Isso permite que invasores autenticados com permissões de nível de administrador ou superiores façam upload de arquivos arbitrários no servidor do site afetado, possibilitando potencialmente a execução remota de código.
Recomendações
Para versões até a 3.6.7, inclusive, atualize para uma versão superior à 3.6.7 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo wp all import get gz.php para minimizar o risco de exploração.
Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp All Import