关键漏洞信息 漏洞概述 标题: Arbitrary file upload in Simple File List plugin for WordPress 发布日期: 2020-04-27 风险等级: High 补丁可用: Yes 漏洞数量: 1 CVE-ID: N/A CWE-ID: CWE-434 利用向量: Network 公开利用: N/A 易受攻击的软件: Simple File List (WordPress插件) 厂商: Mitchell Bennis - Element Engage, LLC 安全公告 漏洞类型: Arbitrary file upload EUVD-ID: EUV27343 CVSSv3.0: 8.1 [CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:HV/I:H/WA:H/SC:N/SI:NSA/NIE:UIU:Amber] CVE-ID: N/A CWE-ID: CWE-434 - Unrestricted Upload of File with Dangerous Type 可利用性: No 描述 该漏洞允许远程攻击者通过文件上传过程中对文件类型的不充分验证来破坏易受攻击的系统。攻击者可以上传包含PHP代码的文件(例如,带有.php图像文件扩展名),然后发送第二个请求将.php文件移动到服务器上的任意位置并执行。 缓解措施 从供应商网站安装更新。 易受攻击的软件版本 Simple File List: 1.0.1 - 4.2.2 CPE2.3 外部链接 https://wpvulndb.com/vulnerabilities/10139 https://plugins.trac.wordpress.org/changeset/2286920/simple-file-list http://simplefilelist.com/ Q&A 是否可以通过互联网远程利用此漏洞? 是的,此漏洞可以通过互联网被远程、未认证的攻击者利用。 是否有已知的恶意软件利用此漏洞? 没有,我们没有发现利用此漏洞的恶意软件。