【資安通報】
風險等級(滿分為10分): 9.9(高)
受影響版本: <= 7.2.1
簡述:
外掛存在目錄遍歷漏洞。該漏洞存在於「mk_file_folder_manager_action_callback_shortcode」函數中的 target 參數。攻擊者可以利用此漏洞讀取伺服器上任意檔案的內容,包含敏感資訊,並將檔案上傳到預設之外的資料夾。在免費版本中,若要利用此漏洞,需要管理員權限。而在 Pro 版本中,檔案管理員可以透過 shortcode 嵌入,管理員也可以將檔案處理權限授予其他使用者等級,因此此漏洞可能會被較低權限的使用者利用。
#大邵報資安
#WordPress