BDU:2023-06186

Опубликовано: 12 июн. 2023

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Средний

Описание

Уязвимость плагина ND Shortcodes системы управления содержимым сайта WordPress связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять LFI-атаки

Вендор

WordPress Foundation

Наименование ПО

ND Shortcodes WordPress

Версия ПО

до 7.0 (ND Shortcodes WordPress)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Обновление программмного обеспечения до версии 7.0

Использование рекомендаций:

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/nd-shortcodes/nd-shortcodes-69-authenticated-subscriber-local-file-inclusion

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-1273
CVE

EPSS

Процентиль: 93%

0.10801

Средний

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2023-1273

CVSS3: 8.8

nvd

больше 2 лет назад

The ND Shortcodes WordPress plugin before 7.0 does not validate some shortcode attributes before using them to generate paths passed to include function/s, allowing any authenticated users such as subscriber to perform LFI attacks

GHSA-jgrp-j9c7-qv87

CVSS3: 8.8

github

больше 2 лет назад

EPSS

Процентиль: 93%

0.10801

Средний

8.8 High

CVSS3

9 Critical

CVSS2