菜单
漏洞描述:
WordPress的Job门户插件(一个为公司或招聘网站提供的完整招聘系统插件)存在本地文件包含漏洞、任意设置更新漏洞和用户创建漏洞。这些漏洞存在于版本2.1.6及以下的所有版本中,通过名为“checkFormRequest”的函数调用的几个函数引发。这使得未经身份验证的攻击者能够在服务器上包含和执行任意文件,允许在这些文件中执行任何PHP代码。这可以用于绕过访问控制,获取敏感数据,或者在可以上传和包含图像和其他“安全”文件类型的情况下实现代码执行。此外,攻击者还可以更新任意设置,甚至在禁用注册的情况下创建用户帐户,导致以管理员为默认角色的用户创建。
修复建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接:
https://plugins.trac.wordpress.org/browser/wp-job-portal/tags/2.1.5/includes/formhandler.php
粤公网安备 44010402002568号