【資安通報】Avada <= 7.11.4 – Auki

【資安通報】

風險等級(滿分為10分): 8.8(高)

受影響版本: <= 7.11.4

簡述:
主題存在任意文件上傳漏洞，因為「ajax_import_options()」函數中缺少檔案類型驗證。這使得具有投稿者等級及以上存取權限的登入者可以在受影響網站的伺服器上上傳任意檔案，這可以使攻擊者從遠端執行程式碼。

參考資料:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/Avada/avada-website-builder-for-wordpress-woocommerce-7114-authenticated-contributor-arbitrary-file-upload

#大邵報資安

#WordPress

發佈留言取消回覆