Spcnet
Una importante vulnerabilità è stata rilevata su MapPress per WordPress.
I ricercatori hanno avvertito l'amministratore di Wordpress. Se utilizzato, il difetto potrebbe consentire a un utente malintenzionato di interferire con i file della pagina iniziale personale (PHP) e persino di eseguire codici da remoto.
Le funzioni AJAX relative alla creazione, rimozione o recupero di file PHP non sono state correttamente verificate dall'errore. Il bug interessa oltre 80.000 siti Web.
Un hacker autorizzato può persino rimuovere qualsiasi file PHP esistente dal sito inviando la richiesta $ POST a wp-admin / admin-ajax.php, con un parametro di azione di cancellazione mapp tpl ed eliminando un nome di base per il file.
Per tracciare questa vulnerabilità, la documentazione è quella relativa alla seguente CVE:
Un hacker autorizzato può persino rimuovere qualsiasi file PHP esistente dal sito inviando la richiesta $ POST a wp-admin / admin-ajax.php, con un parametro di azione di cancellazione mapp tpl ed eliminando un nome di base per il file.
Ad esempio, nel caso in cui un attacco di routing possa essere utilizzato per eliminare wp-config.php con .. / .. / .. / wp-config. per questo parametro nome. Potrebbe causare il ripristino del sito Web, momento in cui un utente malintenzionato potrebbe accedere al sito configurandoli e collegandoli a un database dannoso da remoto host.
Per tracciare questa vulnerabilità, la documentazione è quella relativa alla seguente CVE:
| CVE-2.020-12.675 |
|---|
L'autore