Описание
The Download Monitor WordPress plugin before 4.5.98 does not ensure that files to be downloaded are inside the blog folders, and not sensitive, allowing high privilege users such as admin to download the wp-config.php or /etc/passwd even in an hardened environment or multisite setup.
Ссылки
- ExploitThird Party Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 4.5.98 (исключая)
cpe:2.3:a:wpchill:download_monitor:*:*:*:*:*:wordpress:*:*
EPSS
Процентиль: 74%
0.0084
Низкий
4.9 Medium
CVSS3
Дефекты
CWE-552
Связанные уязвимости
CVSS3: 4.9
github
около 3 лет назад
The Download Monitor WordPress plugin before 4.5.98 does not ensure that files to be downloaded are inside the blog folders, and not sensitive, allowing high privilege users such as admin to download the wp-config.php or /etc/passwd even in an hardened environment or multisite setup.
CVSS3: 7.5
fstec
около 3 лет назад
Уязвимость плагина Download Monitor системы управления содержимым сайта WordPress, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
Процентиль: 74%
0.0084
Низкий
4.9 Medium
CVSS3
Дефекты
CWE-552