Keap Official Opt-in Forms <= 2.0.1 - Unauthenticated Limited Local File Inclusion 漏洞信息(CVE-2024-13725)

一、漏洞 CVE-2024-13725 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Keap Official Opt-in Forms <= 2.0.1 - 未认证的有限本地文件包含漏洞

来源：AIGC 神龙大模型

漏洞描述信息

WordPress插件Keap Official Opt-in Forms在所有版本中（包括2.0.1版本）存在本地文件包含漏洞，该漏洞通过service参数触发。这使得未认证的攻击者可以包含服务器上的PHP文件，从而执行这些文件中的任意PHP代码。攻击者可以利用此漏洞绕过访问控制、获取敏感数据，或在可以上传和包含PHP文件的情况下实现代码执行。如果服务器启用了register_argc_argv且安装了pearcmd.php，该问题可能会导致远程代码执行。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：AIGC 神龙大模型

漏洞标题

Keap Official Opt-in Forms <= 2.0.1 - Unauthenticated Limited Local File Inclusion

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Keap Official Opt-in Forms plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 2.0.1 via the service parameter. This makes it possible for unauthenticated attackers to include PHP files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where PHP files can be uploaded and included. If register_argc_argv is enabled on the server and pearcmd.php is installed, this issue might lead to Remote Code Execution.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2024-13725 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-13725 的情报信息

标题： Keap Official Opt-in Forms <= 2.0.1 - Unauthenticated Limited Local File Inclusion -- 🔗来源链接

标签：
标题： Keap Official Opt-in Forms – WordPress plugin | WordPress.org -- 🔗来源链接

标签：
标题： infusionsoft.php in infusionsoft-official-opt-in-forms/trunk – WordPress Plugin Repository -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-13725

一、 漏洞 CVE-2024-13725 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-13725 的公开POC

三、漏洞 CVE-2024-13725 的情报信息

一、漏洞 CVE-2024-13725 基础信息