| ID: | 16503 |
|---|---|
| 标题: | wordpress远程代码执行(CVE-2019-8942) |
| 描述: | wordpress远程代码执行(CVE-2019-8942) vulfocus/wordpress_cve_2019_8942:latest WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。 4.9.9 之前的 WordPress 和 5.0.1 之前的 5.x 允许远程代码执行,因为 _wp_attached_file Post Meta 条目可以更改为任意字符串,例如以 .jpg?file.php 子字符串结尾的字符串。具有作者权限的攻击者可以通过在 Exif 元数据中上传包含 PHP 代码的精心制作的图像来执行任意代码 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | 无 |
| writeup: | 验证后的网址 WordPress 5.0.0 的远程代码执行漏洞(CVE-2019-8942)由目录遍历和本地文件包含组合利用构成,攻击者需拥有至少作者权限的账户 |