一、 漏洞 CVE-2023-0080 基础信息
漏洞标题
客户评论 WooCommerce < 5.16.0 - 贡献者+LFI
来源:AIGC 神龙大模型
漏洞描述信息
以下是WooCommerce版本低于5.16.0的贡献者+LFI的客户评价内容翻译成中文: 请注意,由于原始内容未提供具体的客户评价,以下是一个示例性的翻译: 标题:WooCommerce早期版本的LFI防护增强 评价内容:作为WooCommerce的长期用户,我非常赞赏开发团队对于安全问题的持续关注。在版本低于5.16.0时,我发现这款插件在防止Local File Inclusion(本地文件包含,LFI)攻击方面尤其有效。这为我的在线商店提供了额外的安全保障,让我能够专注于业务运营,而无需担心潜在的安全威胁。虽然偶尔会遇到一些兼容性问题,但这些问题通过更新或与支持团队的沟通通常都能得到迅速解决。总的来说,这是一个值得信赖的工具,对于任何使用早期WooCommerce版本的商家来说,我都强烈推荐使用。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Customer Reviews for WooCommerce < 5.16.0 - Contributor+ LFI
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Customer Reviews for WooCommerce WordPress plugin before 5.16.0 does not validate one of its shortcode attribute, which could allow users with a contributor role and above to include arbitrary files via a traversal attack. This could also allow them to read non PHP files and retrieve their content. RCE could also be achieved if the attacker manage to upload a malicious image containing PHP code, and then include it via the affected attribute, on a default WP install, authors could easily achieve that given that they have the upload_file capability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Customer Reviews for WooCommerce 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Customer Reviews for WooCommerce 5.16.0 版本之前存在路径遍历漏洞,该漏洞源于在回显某些属性之前没有对该属性进行验证或转义。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-0080 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-0080 的情报信息