Katalog CVE

CVE-2016-20079

ŚrednieCVSS 6.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.78%

Percentyl 51 — wyżej niż 51% wszystkich znanych CVE

Streszczenie

WordPress Dharma Booking w wersji 2.28.3 i wcześniejszych zawiera podatność na lokalne włączenie plików, która pozwala nieautoryzowanym atakującym na włączenie dowolnych plików poprzez manipulację parametrem gateway. Atakujący mogą dostarczyć ścieżki plików z sekwencjami przechodzenia przez katalogi lub wstrzyknięciem bajtu null do parametru gateway w pliku proccess.php, aby odczytać wrażliwe pliki, takie jak pliki konfiguracyjne i systemowe.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia wrażliwych informacji, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Rekomendacja

Zaleca się aktualizację WordPress Dharma Booking do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

WordPress Dharma Booking 2.28.3 and earlier contains a local file inclusion vulnerability that allows unauthenticated attackers to include arbitrary files by manipulating the gateway parameter. Attackers can supply file paths with directory traversal sequences or null byte injection to the gateway parameter in proccess.php to read sensitive files like configuration and system files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS