【資安通報】File Manager <= 7.2.1

【資安通報】

風險等級(滿分為10分): 9.9(高)

受影響版本: <= 7.2.1

簡述:
外掛存在目錄遍歷漏洞。該漏洞存在於「mk_file_folder_manager_action_callback_shortcode」函數中的 target 參數。攻擊者可以利用此漏洞讀取伺服器上任意檔案的內容,包含敏感資訊,並將檔案上傳到預設之外的資料夾。在免費版本中,若要利用此漏洞,需要管理員權限。而在 Pro 版本中,檔案管理員可以透過 shortcode 嵌入,管理員也可以將檔案處理權限授予其他使用者等級,因此此漏洞可能會被較低權限的使用者利用。

參考資料:
https://www.wordfence.com/threat-intel/vulnerabilities/detail/file-manager-and-file-manager-pro-multiple-versions-directory-traversal

#大邵報資安

#WordPress