WordPress Plugin Export and Import Users and Customers 安全漏洞(CVE-2023-6558)

CVE编号

CVE-2023-6558

利用情况

暂无

补丁情况

N/A

披露时间

2024-01-11

漏洞描述

WordPress Export and Import Users and Customers插件在版本2.4.8及之前的'upload_import_file'函数中存在不足的文件类型验证，导致任意文件上传漏洞。这使得具有商店管理员级别及以上权限的经过身份验证的攻击者可以在受影响网站服务器上上传任意文件，从而可能导致远程代码执行。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/users-customers-import-export-for-...
https://plugins.trac.wordpress.org/changeset/3008454/users-customers-import-e...
https://www.wordfence.com/threat-intel/vulnerabilities/id/55b3e2dc-dc4f-408b-...

CVSS3评分 7.2

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 高
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com