WordPress Background Image Cropper 1.2 远程代码执行漏洞 漏洞概述 WordPress Background Image Cropper 版本 1.2 存在一个远程代码执行漏洞,允许未授权的攻击者通过访问 端点上传任意文件。攻击者可以通过插件目录中的文件上传表单上传 PHP 文件,从而在服务器上执行任意代码。 影响范围 受影响版本:Background Image Cropper <= 1.2 CVE:CVE-2024-58348 CWE:CWE-434 Unrestricted Upload of File with Dangerous Type CVSS:9.3 CVSS V4 Vector:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 修复方案 官方产品主页:Official Product Homepage 产品参考:Product Reference VulnCheck 建议:VulnCheck Advisory: WordPress Background Image Cropper 1.2 Remote Code Execution 参考链接 ExploitDB-51998 Official Product Homepage Product Reference VulnCheck Advisory: WordPress Background Image Cropper 1.2 Remote Code Execution 贡献者 Milad Karimi (Ex3ptional) 描述 WordPress Background Image Cropper 版本 1.2 存在一个远程代码执行漏洞,允许未授权的攻击者通过访问 端点上传任意文件。攻击者可以通过插件目录中的文件上传表单上传 PHP 文件,从而在服务器上执行任意代码。