WP Coder < 2.5.2 - RFI leading to RCE via CSRF

The WP Coder WordPress plugin before 2.5.2 within the wow-company admin menu page allows to include() arbitrary file with PHP extension (as well as with data:// or http:// protocols), thus leading to CSRF RCE.

N/A

跨站请求伪造(CSRF)

WordPress plugin WP Coder 跨站请求伪造漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。 WordPress插件存在跨站请求伪造漏洞，该漏洞源于2.5.2之前的WP Coder WordPress插件在wow-company管理菜单页面中允许包含()带有PHP扩展名(以及data:或http:协议)的任意文件，从而导致CSRF RCE。

N/A

N/A