Плагин Экспорт и Импорт Пользователей и Клиентов для WordPress уязвим к внедрению объекта PHP во всех версиях до и включая 2.6.2 через десе…
Плагин Экспорт и Импорт Пользователей и Клиентов для WordPress уязвим к внедрению объекта PHP во всех версиях до и включая 2.6.2 через десериализацию ненадежного ввода из параметра 'form_data'. Это делает возможным для аутентифицированных атакующих с правами доступа уровня Администратор и выше внедрять объект PHP. В уязвимом программном обеспечении нет известной цепочки ПУП, что означает, что эта уязвимость не имеет влияния, если на сайте не установлены другие плагины или темы, содержащие цепочку ПУП. Если цепочка ПУП присутствует через дополнительный установленные плагины или темы в целевой системе, это может позволить атакующему выполнять действия, такие как удаление произвольных файлов, получение конфиденциальных данных или выполнение кода в зависимости от наличия цепочки ПУП.
Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| import_export_wordpress_users | * | Отслеживается |