WordPress Plugin Baggage Freight Shipping Australia 0.1.0 Arbitrary File Upload 漏洞概述 WordPress Plugin Baggage Freight Shipping Australia 0.1.0 包含一个不受限制的文件上传漏洞,允许未经身份验证的攻击者通过利用 upload-package.php 端点上传任意文件。攻击者可以向上传处理程序提交带有恶意文件扩展名的 POST 请求,将文件移动到插件上传目录,从而实现远程代码执行。 影响范围 Baggage Freight Shipping Australia <= 0.1.0 修复方案 升级到最新版本或等待官方发布补丁。 参考链接 ExploitDB-46061 Official Product Homepage Product Reference 其他信息 严重性: Critical 日期: 6/15/2026 CVE: CVE-2018-25436 CWE: CWE-434 Unrestricted Upload of File with Dangerous Type CVSS: 9.3 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Credit: Kaimi