关键漏洞信息 漏洞概述 名称: Advanced Custom Fields Plugin for WordPress 'acf_abspath' Parameter Remote File Inclusion ID: 63326 严重性: 高 描述 问题: 远程Web服务器上的PHP应用程序存在远程文件包含攻击漏洞。 详细: 安装在远程主机上的Advanced Custom Fields插件版本未能正确处理用户提供的输入到其 脚本的 参数。远程未授权攻击者可以利用此漏洞查看任意文件或执行任意PHP代码,可能来自第三方主机。 解决方案 建议: 升级到Advanced Custom Fields版本3.5.2或更高版本。 漏洞信息 CVE: cpe:/a:wordpress:wordpress 所需KB项: Installed_sw/WordPress, www/PHP 是否有可用的利用程序: 是 利用难度: 存在可用的利用程序 是否被Nessus利用: 是 补丁发布日期: 2012年11月16日 漏洞发布日期: 2012年11月14日 利用工具 Metasploit: (WordPress Plugin Advanced Custom Fields Remote File Inclusion) Elliot: (WordPress Advanced Custom Fields 3.5.1 RFI) 参考信息 BID: 56528