Frontend File Manager < 4.0 & N-Media Post Front-end Form < 1.1 & - Arbitrary File Upload 漏洞信息(CVE-2016-15042)

一、漏洞 CVE-2016-15042 基础信息

漏洞信息

                                        # 前端文件管理器小于4.0&N-Media Post前端表单小于1.1&任意文件上传

## 概述
Frontend File Manager（版本 < 4.0）和 N-Media Post Front-end Form（版本 < 1.1）插件存在任意文件上传漏洞，原因是缺乏对上传文件类型的验证。这使得未认证的攻击者可以上传任意文件，进而可能实现远程代码执行。

## 影响版本
- Frontend File Manager < 4.0
- N-Media Post Front-end Form < 1.1

## 细节
漏洞是由于 `nm_filemanager_upload_file` 和 `nm_postfront_upload_file` AJAX 请求未验证上传文件的类型，导致攻击者可以上传未授权文件。

## 影响
未认证的攻击者可以利用此漏洞上传任意文件到服务器，这可能导致远程代码执行。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Frontend File Manager < 4.0 & N-Media Post Front-end Form < 1.1 & - Arbitrary File Upload

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Frontend File Manager (versions < 4.0), N-Media Post Front-end Form (versions < 1.1) plugins for WordPress are vulnerable to arbitrary file uploads due to missing file type validation via the `nm_filemanager_upload_file` and `nm_postfront_upload_file` AJAX actions. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected sites server which may make remote code execution possible.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

危险类型文件的不加限制上传

来源：美国国家漏洞数据库 NVD

漏洞标题

WordPress plugin Frontend File Manager 代码问题漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Frontend File Manager 4.0版本和N-Media Post Front-end Form 1.1版本存在代码问题漏洞，该漏洞源于nm_filemanager_upload_file和nm_postfron

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2016-15042 的公开POC

#	POC 描述	源链接	神龙链接
1	CVE-2016-15042 lab: Dockerized WordPress PoC for unauthenticated file upload in Frontend File Manager <4.0 and N‑Media Post Front‑end Form <1.1	https://github.com/ImBIOS/lab-cve-2016-15042	POC详情
2	🛠️ Validate and demonstrate CVE-2016-15042 with a Dockerized lab for unauthenticated file uploads in WordPress file managers.	https://github.com/Aditya43621/lab-cve-2016-15042	POC详情
3	The Frontend File Manager plugin (<4.0) and N-Media Post Front-end Form plugin (<1.1) for WordPress were vulnerable to arbitrary file uploads due to missing file type validation. This allowed unauthenticated attackers to upload arbitrary files and potentially achieve remote code execution.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2016/CVE-2016-15042.yaml	POC详情

三、漏洞 CVE-2016-15042 的情报信息

https://www.wordfence.com/threat-intel/vulnerabilities/id/2c1e6298-f243-49a5-b1b7-52bd6a6c8858?source=cve
标题： www.pluginvulnerabilities.com -- 🔗来源链接

标签：
https://wordpress.org/plugins/nmedia-user-file-uploader/#developers
https://wpscan.com/vulnerability/052f7d9a-aaff-4fb1-92b7-aeb83cc705a7
标题： www.pluginvulnerabilities.com -- 🔗来源链接

标签：
https://www.acunetix.com/vulnerabilities/web/wordpress-plugin-n-media-post-front-end-form-arbitrary-file-upload-1-0/
https://nvd.nist.gov/vuln/detail/CVE-2016-15042

四、漏洞 CVE-2016-15042 的评论

暂无评论

一、 漏洞 CVE-2016-15042 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2016-15042 的公开POC

三、漏洞 CVE-2016-15042 的情报信息

四、漏洞 CVE-2016-15042 的评论

发表评论

一、漏洞 CVE-2016-15042 基础信息