PT-2022-18227 · WordPress · Import Any Xml/Csv File To Wordpress
Lucy
·
Publicado
2022-11-07
·
Atualizado
2025-05-05
·
CVE-2022-2711
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões anteriores à 3.6.9 do plugin “Import any XML or CSV File to WordPress”
Descrição
A vulnerabilidade permite que usuários com privilégios elevados, como administradores, gravem arquivos arbitrários em qualquer parte do sistema de arquivos acessível pelo servidor web por meio de um vetor de traversal de caminho. Isso ocorre porque o plugin não valida os caminhos dos arquivos contidos nos arquivos ZIP enviados.
Recomendações
Para versões anteriores à 3.6.9, atualize para a versão 3.6.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o upload de arquivos zip ou limitar os privilégios dos usuários que podem enviar arquivos para minimizar o risco de exploração.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Import Any Xml/Csv File To Wordpress