漏洞标题
视频画廊 - YouTube播放列表,YotuWP <= 1.3.13频道画廊 - 通过短代码的任意文件包含(贡献者+)
漏洞描述信息
视频画廊 - YouTube播放列表,YotuWP插件中的WordPress频道画廊在所有版本直至并包括1.3.13中存在本地文件包含漏洞,通过display功能。这使得具有贡献者权限及更高权限的已认证攻击者能够包含并执行服务器上的任意php文件。这允许在这些文件中执行任何PHP代码。这可以用于绕过访问控制、获取敏感数据,或在可以上传和包含的图像和其他“安全”文件类型的情况下实现代码执行。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Video Gallery – YouTube Playlist, Channel Gallery by YotuWP <= 1.3.13 - Authenticated (Contributor+) Arbitrary File Inclusion via Shortcode
漏洞描述信息
The Video Gallery – YouTube Playlist, Channel Gallery by YotuWP plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 1.3.13 via the display function. This makes it possible for authenticated attackers, with contributor access and higher, to include and execute arbitrary php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where images and other “safe” file types can be uploaded and included.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
WordPress plugin Video Gallery 安全漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Video Gallery 1.3.13 版本及之前版本存在安全漏洞,该漏洞源于本地文件包含。
CVSS信息
N/A
漏洞类别
其他