漏洞标题
WP-Curricul Vitea Free <= 6.3 - 未授权的任意文件上传至RCE
漏洞描述信息
WP-Curricul Vitea Free <= 6.3 - 未授权的任意文件上传至RCE
这是一个关于WordPress插件WP-Curricul Vitea Free版本小于或等于6.3的安全漏洞。该漏洞允许未授权用户上传任意文件,进而可能通过精心构造的文件实现远程代码执行(Remote Code Execution,RCE)。也就是说,攻击者可以利用这个漏洞在目标服务器上执行任意代码,从而可能获取服务器控制权,泄露敏感信息或者进行其他恶意操作。修复此漏洞的最有效方法是尽快更新到该插件的最新版本,或者禁用和卸载存在漏洞的版本。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
WP-Curricul Vitea Free <= 6.3 - Unauthenticated Arbitrary File Upload to RCE
漏洞描述信息
The WP-Curriculo Vitae Free WordPress plugin through 6.3 suffers from an arbitrary file upload issue in page where the [formCadastro] is embed. The form allows unauthenticated user to register and submit files for their profile picture as well as resume, without any file extension restriction, leading to RCE.
CVSS信息
N/A
漏洞类别
危险类型文件的不加限制上传
漏洞标题
WordPress 插件 代码问题漏洞
漏洞描述信息
WordPress 插件是WordPress开源的一个应用插件。 WP-Curriculo Vitae Free WordPress插件 6.3版本存在代码问题漏洞,该漏洞源于表单允许未经身份验证的用户注册和提交他们的头像和简历文件,没有任何文件扩展名限制,导致RCE。
CVSS信息
N/A
漏洞类别
代码问题