点击蓝字
关注我们
漏
洞
预
警
一、基本情况
|
近日,监测发现YITH官方披露了旗下产品WooCommerce Gift Cards Premium存在任意文件上传漏洞,该漏洞CVE编号:CVE-2021-3120。攻击者可利用该漏洞将恶意文件上传到目标服务器,从而实现在目标服务器操作系统上下文中远程代码执行。建议受影响用户及时升级最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。 |
二、漏洞等级
|
高危 |
三、漏洞描述
|
YITH WooCommerce Gift Cards Premium是YITH公司旗下的一款礼品卡插件产品,该插件允许将礼品卡添加到网站(由WordPress WooCommerce插件提供支持)。 该漏洞存在于WordPress WooCommerce Gift Cards Premiu 3.3.0及之前版本,由于上传图片接口安全过滤不严格导致的。在未授权的情况下,攻击者利用该漏洞通过上传恶意文件到目标服务器,从而实现在目标服务器操作系统上下文中远程代码执行。 |
四、影响范围
|
五、安全建议
|
建议受影响用户及时将WooCommerce Gift Cards Premium升级至v3.3.1或更高版本修复该漏洞。 https://wordpress.org/plugins/yith-woocommerce-gift-cards/ |
六、参考链接
|
https://github.com/guy-liu/yith-giftdrop |
支持单位:
北京奇虎科技有限公司
深信服科技股份有限公司
中国信息通信研究院
长按二维码 |关注我们
我知道你在看哟
原文始发于微信公众号(网络安全威胁和漏洞信息共享平台):WordPress WooCommerce Gift Cards Premium任意文件上传漏洞预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论