漏洞总结 漏洞概述 CVE编号: CVE-2025-6586 漏洞名称: Download Plugin <= 2.2.8 - Authenticated (Admin+) Arbitrary File Upload via the dpwap_plugin_locInstall Function 漏洞描述: 受影响的 插件在通过 管理页面暴露的 函数中,未对文件类型进行 sanitization(清洗/验证)。这允许管理员或更高权限的用户上传任意文件,从而可能导致服务器上的代码执行。 影响范围 受影响插件: Download Plugin 受影响版本: <= 2.2.8 利用条件: 需要管理员权限 (Authenticated Admin+) 修复方案 升级 插件至修复了该漏洞的版本(通常建议升级至最新版本)。 POC 代码/利用演示**