Описание
The Download Monitor WordPress plugin before 4.5.98 does not ensure that files to be downloaded are inside the blog folders, and not sensitive, allowing high privilege users such as admin to download the wp-config.php or /etc/passwd even in an hardened environment or multisite setup.
Ссылки
- ExploitThird Party Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 4.5.98 (исключая)
cpe:2.3:a:wpchill:download_monitor:*:*:*:*:*:wordpress:*:*
EPSS
Процентиль: 52%
0.00289
Низкий
4.9 Medium
CVSS3
Дефекты
CWE-552
Связанные уязвимости
CVSS3: 4.9
github
почти 3 года назад
The Download Monitor WordPress plugin before 4.5.98 does not ensure that files to be downloaded are inside the blog folders, and not sensitive, allowing high privilege users such as admin to download the wp-config.php or /etc/passwd even in an hardened environment or multisite setup.
CVSS3: 7.5
fstec
почти 3 года назад
Уязвимость плагина Download Monitor системы управления содержимым сайта WordPress, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
Процентиль: 52%
0.00289
Низкий
4.9 Medium
CVSS3
Дефекты
CWE-552