一、 漏洞 CVE-2017-18580 基础信息
漏洞信息
# N/A
## 漏洞概述
shortcodes-ultimate插件在WordPress中的版本5.0.1之前存在远程代码执行漏洞,该漏洞通过meta、post或user短代码中的过滤器触发。
## 影响版本
- shortcodes-ultimate < 5.0.1
## 漏洞细节
攻击者可以通过在meta、post或user短代码中利用过滤器来执行远程代码。
## 漏洞影响
该漏洞允许远程攻击者执行任意代码,从而可能控制受影响的WordPress网站。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于WordPress的shortcodes-ultimate插件版本5.0.1之前的版本中,通过在meta、post或user短代码中的过滤器可以实现远程代码执行。远程攻击者可以利用这一漏洞在服务端执行任意代码,因此这是一个服务器端的漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The shortcodes-ultimate plugin before 5.0.1 for WordPress has remote code execution via a filter in a meta, post, or user shortcode.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress shortcodes-ultimate插件输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。shortcodes-ultimate是使用在其中的一个插件,它支持在页面上创建标签、按钮、滑块和响应式视频等。 WordPress shortcodes-ultimate插件5.0.1之前版本中存在安全漏洞。攻击者可利用该漏洞执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-18580 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Shortcodes Ultimate plugin before 5.0.1 for WordPress contains a remote code execution caused by a filter in meta, post, or user shortcode, letting remote attackers execute arbitrary code, exploit requires sending crafted shortcode data. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2017/CVE-2017-18580.yaml | POC详情 |
三、漏洞 CVE-2017-18580 的情报信息
标题: WP Shortcodes Plugin — Shortcodes Ultimate – WordPress plugin | WordPress.org -- 🔗来源链接
标签:x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2017-18580
四、漏洞 CVE-2017-18580 的评论
暂无评论