关键信息 描述 漏洞类型: WordPress插件Work The Flow File Upload存在任意文件上传漏洞。 原因: 应用程序未能正确清理用户输入,导致攻击者可以上传任意文件。 影响: 攻击者可以利用此漏洞上传恶意代码并在Web服务器进程中运行,可能导致未经授权的访问或权限提升。 严重性 等级: 高 分类 CWE编号: CWE-434 CVSS评分: - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VCH/V:H/VA:H/SC:N/SE:N/SA:I/N 修复建议 措施: 更新插件至版本2.5.3或最新版本。 参考资料 HomeLab Exploit-DB PacketStormSecurity PacketStormSecurity GitHub 相关漏洞 XWiki凭证管理错误漏洞 (CVE-2005-4862) Joomla! 核心跨站脚本 (1.7.0 - 3.9.5) WordPress插件MW WP表单目录遍历 (4.4.2) Dolibarr在网页生成过程中对输入处理不当 ('跨站脚本') 漏洞 (CVE-2017-14241) PHP其他漏洞 (CVE-2005-3054)