关键信息 漏洞描述 漏洞名称: WordPress Plugin N-Media Website Contact Form with File Upload Arbitrary File Upload (1.3.4) 描述: 该插件存在一个漏洞,允许攻击者上传任意文件,因为应用程序未能正确清理用户提供的输入。攻击者可以利用此漏洞上传任意代码并在Web服务器进程中运行,可能导致未经授权的访问或权限提升,以及其他可能的攻击。 严重性 严重程度: 高 分类 CWE编号: CWE-434 CVSS评分: - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - CVSS:2.0/AV:N/AC:L/AT:N/PR:N/UI:N/VCH:V/H/VA:H/SC:N/SI:N/SA:N 解决方案 修复措施: 更新到插件版本1.4或最新版本 参考链接 HomeLab Exploit-DB 36738 PacketStormSecurity PacketStormSecurity GitHub Metasploit Exploit-DB 36979 相关漏洞 Drupal Core 6.x Local File Inclusion (6.0 - 6.9) Apache Traffic Server Improper Input Validation Vulnerability (CVE-2010-2952) Oracle JRE CVE-2020-14556 Vulnerability (CVE-2020-14556) PHP Other Vulnerability (CVE-2001-0108) MySQL CVE-2020-14680 Vulnerability (CVE-2020-14680)