Плагин Product Input Fields для WooCommerce для WordPress уязвим к произвольной загрузке файлов из-за недостаточной проверки типа файла в ф…

Плагин Product Input Fields для WooCommerce для WordPress уязвим к произвольной загрузке файлов из-за недостаточной проверки типа файла в функции add_product_input_fields_to_order_item_meta() во всех версиях до, включая 1.12.0. Это может позволить неаутентифицированным злоумышленникам загружать произвольные файлы на сервере затронутого сайта, что может сделать возможным удаленное выполнение кода. Обратите внимание, что по умолчанию плагин уязвим только к атаке загрузки файла с двойным расширением, если администраторы не оставят поле допустимых расширений файла пустым, что может сделать возможной загрузку файлов .php. Обратите внимание, что 1.12.2 ошибочно была помечена как исправленная, в то время как 1.12.1 была помечена как уязвимая в течение короткого времени, но это не так, и 1.12.1 полностью исправлена.