根据用户提供的网页截图,我提取了以下关键信息: 漏洞概述 漏洞名称: Command Injection Leading to Remote Code Execution (RCE) 描述: 在 插件的 函数中存在命令注入漏洞。攻击者可以通过构造特定的正则表达式参数,在服务器上执行任意系统命令。 影响版本: 1.0.0 到 1.0.1 (1.0.1 版本已修复) CVSS 评分: 9.8 (Critical) 影响范围 受影响插件: PregMatchPro (WordPress 插件) 受影响函数: 受影响文件: 修复方案 官方修复: 升级到 1.0.1 版本。 临时缓解: 禁用该插件或移除相关功能。 代码修复: 在 函数中,对 参数进行过滤,移除其中的特殊字符(如 ),防止命令注入。 POC/利用代码 页面中提供了详细的利用步骤和代码片段: 1. 初始利用 (获取 shell): 2. Payload 构造: 3. 完整利用脚本 (exploit.php): 4. 修复代码示例: Command Injection Leading to Remote Code Execution (RCE) 漏洞概述 漏洞名称: Command Injection Leading to Remote Code Execution (RCE) 描述: 在 插件的 函数中存在命令注入漏洞。攻击者可以通过构造特定的正则表达式参数,在服务器上执行任意系统命令。 影响版本: 1.0.0 到 1.0.1 (1.0.1 版本已修复) CVSS 评分: 9.8 (Critical) 影响范围 受影响插件: PregMatchPro (WordPress 插件) 受影响函数: 受影响文件: 修复方案 官方修复: 升级到 1.0.1 版本。 临时缓解: 禁用该插件或移除相关功能。 代码修复: 在 函数中,对 参数进行过滤,移除其中的特殊字符(如 ),防止命令注入。 POC/利用代码 1. 初始利用 (获取 shell) 2. Payload 构造 3. 完整利用脚本 (exploit.php) 4. 修复代码示例