Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-11026

Опубликовано: 30 апр. 2020
Источник: nvd
CVSS3: 8.7
CVSS3: 5.4
CVSS2: 3.5
EPSS Низкий

Описание

In affected versions of WordPress, files with a specially crafted name when uploaded to the Media section can lead to script execution upon accessing the file. This requires an authenticated user with privileges to upload files. This has been patched in version 5.4.1, along with all the previously affected versions via a minor release (5.3.3, 5.2.6, 5.1.5, 5.0.9, 4.9.14, 4.8.13, 4.7.17, 4.6.18, 4.5.21, 4.4.22, 4.3.23, 4.2.27, 4.1.30, 4.0.30, 3.9.31, 3.8.33, 3.7.33).

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 3.7 (включая) до 3.7.33 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 3.8 (включая) до 3.8.33 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 3.9 (включая) до 3.9.31 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.0 (включая) до 4.0.30 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.1 (включая) до 4.1.30 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.2 (включая) до 4.2.27 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.3 (включая) до 4.3.23 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.4 (включая) до 4.4.22 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.5 (включая) до 4.5.21 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.6 (включая) до 4.6.18 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.7 (включая) до 4.7.17 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.8 (включая) до 4.8.13 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.9 (включая) до 4.9.14 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.0 (включая) до 5.0.9 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.1 (включая) до 5.1.5 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.2 (включая) до 5.2.6 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.3 (включая) до 5.3.3 (исключая)
cpe:2.3:a:wordpress:wordpress:5.4:*:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

EPSS

Процентиль: 86%
0.02924
Низкий

8.7 High

CVSS3

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-707
CWE-79

Связанные уязвимости

ubuntu логотип

CVE-2020-11026

CVSS3: 8.7
ubuntu
около 5 лет назад

In affected versions of WordPress, files with a specially crafted name when uploaded to the Media section can lead to script execution upon accessing the file. This requires an authenticated user with privileges to upload files. This has been patched in version 5.4.1, along with all the previously affected versions via a minor release (5.3.3, 5.2.6, 5.1.5, 5.0.9, 4.9.14, 4.8.13, 4.7.17, 4.6.18, 4.5.21, 4.4.22, 4.3.23, 4.2.27, 4.1.30, 4.0.30, 3.9.31, 3.8.33, 3.7.33).

debian логотип

CVE-2020-11026

CVSS3: 8.7
debian
около 5 лет назад

In affected versions of WordPress, files with a specially crafted name ...

fstec логотип

BDU:2020-03936

CVSS3: 5.4
fstec
около 5 лет назад

Уязвимость компонентов formatting.php и SanitizeFileName.php системы управления содержимым сайта WordPress, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 86%
0.02924
Низкий

8.7 High

CVSS3

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-707
CWE-79