关键漏洞信息 漏洞名称: Arbitrary file upload in scribu Front-end Editor for WordPress 发布日期: 2012-07-07 风险等级: High 补丁可用: Yes 漏洞数量: 1 CVE-ID: N/A CWE-ID: CWE-434 (Unrestricted Upload of File with Dangerous Type) 利用向量: Network 公开利用代码: N/A 易受攻击的软件: Front-end Editor (Web applications / Modules and components for CMS) 厂商: scribu 安全公告 描述: - 该漏洞允许远程攻击者破坏易受攻击的系统。 - 漏洞是由于在上传文件时对文件扩展名的验证不足造成的。远程攻击者可以上传并在系统上执行任意文件。 缓解措施: - 更新到版本2.3。 易受攻击的软件版本: - Front-end Editor: 1.9.2.1 - 2.2.2 外部链接: - Wayback Machine - OpenSysCom Q&A 此漏洞可以远程利用吗? - 是的,此漏洞可以通过互联网被远程非认证攻击者利用。 有已知的恶意软件利用此漏洞吗? - 没有,我们没有发现利用此漏洞的恶意软件。