关键信息 描述 漏洞类型: 任意文件上传 受影响插件: WordPress Plugin Thumbnail carousel slider (版本1.0) 原因: 应用程序未能正确验证用户提供的输入,导致攻击者可以上传任意文件。 潜在风险: 攻击者可以利用此漏洞上传恶意代码并在Web服务器进程中运行,可能导致未经授权的访问或权限提升。 严重性 等级: 高 分类 CWE编号: CWE-434 CVSS评分: - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VIL:VA/L:SC 修复建议 编辑源代码以确保输入被正确验证,或者禁用插件直到有可用的修复。 参考链接 Exploit-DB PacketStormSecurity PluginVulnerabilities 相关漏洞 MediaWiki 输入中和不当 (CVE-2014-5057) Oracle Database Server 漏洞 (CVE-2014-4294) WordPress Plugin NextScripts 社交网络自动发布 跨站脚本 (4.2.7) MySQL 漏洞 (CVE-2017-3244) WordPress Plugin WordPress WP-Advanced-Search 远程代码执行 (3.3.3)