Katalog CVE

CVE-2016-20080

ŚrednieCVSS 6.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 31 — wyżej niż 31% wszystkich znanych CVE

Streszczenie

Wtyczka Brandfolder dla WordPressa w wersji 3.0 i wcześniejszych zawiera podatność na lokalne włączenie pliku w pliku callback.php, co pozwala nieautoryzowanym atakującym na włączenie dowolnych plików poprzez manipulację parametrem wp_abspath.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do wrażliwych plików, takich jak wp-config.php, co może prowadzić do przejęcia kontroli nad witryną lub wykonania zdalnego kodu.

Rekomendacja

Zaleca się aktualizację wtyczki Brandfolder do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

WordPress Brandfolder plugin version 3.0 and earlier contains a local file inclusion vulnerability in callback.php that allows unauthenticated attackers to include arbitrary files by manipulating the wp_abspath parameter. Attackers can supply path traversal sequences or remote URLs through the wp_abspath parameter to read sensitive files like wp-config.php or execute remote code.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS