wp-publications <= 0.0 Local File Include

The wp-publications WordPress plugin is vulnerable to restrictive local file inclusion via the Q_FILE parameter found in the ~/bibtexbrowser.php file which allows attackers to include local zip files and achieve remote code execution, in versions up to and including 0.0.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

对路径名的限制不恰当(路径遍历)

WordPress 插件 路径遍历漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 插件是WordPress开源的一个应用插件。 WordPress 插件 wp-publications 存在路径遍历漏洞，该漏洞源于~/bibtexbrowser.php中的Q_FILE参数缺少有效的验证，易造成本地文件包含漏洞。这允许攻击者可利用该漏洞包含本地zip文件，并实现远程代码执行。

N/A

N/A