IQ Testimonials <= 2.2.7 - Unauthenticated Arbitrary File Upload 漏洞信息(CVE-2024-6314)

一、漏洞 CVE-2024-6314 基础信息

漏洞标题

智商评测 <= 2.2.7 - 未经认证的任意文件上传

来源：AIGC 神龙大模型

漏洞描述信息

WordPress IQ Testimonials插件在版本直至且包括2.2.7的版本中，由于'process_image_upload'函数中对文件类型验证不足，存在任意文件上传漏洞。这使得未授权攻击者能够上传受影响网站服务器上的任意文件，这可能使远程代码执行成为可能。但是，这种漏洞只能在服务器上未加载'gd'PHP扩展的情况下被利用。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

危险类型文件的不加限制上传

来源：AIGC 神龙大模型

漏洞标题

IQ Testimonials <= 2.2.7 - Unauthenticated Arbitrary File Upload

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The IQ Testimonials plugin for WordPress is vulnerable to arbitrary file uploads due to insufficient file type validation in the 'process_image_upload' function in versions up to, and including, 2.2.7. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. This can only be exploited if the 'gd' php extension is not loaded on the server.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

WordPress plugin IQ Testimonials 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin IQ Testimonials 2.2.7 版本及之前版本存在安全漏洞，该漏洞源于 process_image_upload 函数中的文件类型验证不足，导致任意文件上传。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-6314 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2024-6314 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-6314 的公开POC

三、漏洞 CVE-2024-6314 的情报信息

一、漏洞 CVE-2024-6314 基础信息