Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-2745

Опубликовано: 17 мая 2023
Источник: nvd
CVSS3: 5.4
CVSS3: 6.1
EPSS Высокий

Описание

WordPress Core is vulnerable to Directory Traversal in versions up to, and including, 6.2, via the ‘wp_lang’ parameter. This allows unauthenticated attackers to access and load arbitrary translation files. In cases where an attacker is able to upload a crafted translation file onto the site, such as via an upload form, this could be also used to perform a Cross-Site Scripting attack.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия до 4.1.38 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.2 (включая) до 4.2.35 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.3 (включая) до 4.3.31 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.4 (включая) до 4.4.30 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.5 (включая) до 4.5.29 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.6 (включая) до 4.6.26 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.7 (включая) до 4.7.26 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.8 (включая) до 4.8.22 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.9 (включая) до 4.9.23 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.0 (включая) до 5.0.19 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.1 (включая) до 5.1.16 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.2 (включая) до 5.2.18 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.3 (включая) до 5.3.15 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.4 (включая) до 5.4.13 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.5 (включая) до 5.5.12 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.6 (включая) до 5.6.11 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.7 (включая) до 5.7.9 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.8 (включая) до 5.8.7 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.9 (включая) до 5.9.6 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 6.0 (включая) до 6.0.4 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 6.1 (включая) до 6.1.2 (исключая)
cpe:2.3:a:wordpress:wordpress:6.2:*:*:*:*:*:*:*

EPSS

Процентиль: 99%
0.71468
Высокий

5.4 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-22

Связанные уязвимости

ubuntu логотип

CVE-2023-2745

CVSS3: 5.4
ubuntu
около 2 лет назад

WordPress Core is vulnerable to Directory Traversal in versions up to, and including, 6.2, via the ‘wp_lang’ parameter. This allows unauthenticated attackers to access and load arbitrary translation files. In cases where an attacker is able to upload a crafted translation file onto the site, such as via an upload form, this could be also used to perform a Cross-Site Scripting attack.

debian логотип

CVE-2023-2745

CVSS3: 5.4
debian
около 2 лет назад

WordPress Core is vulnerable to Directory Traversal in versions up to, ...

github логотип

GHSA-xgqr-2mpj-w9qv

CVSS3: 5.4
github
почти 2 года назад

WordPress Core is vulnerable to Directory Traversal in versions up to, and including, 6.2, via the ‘wp_lang’ parameter. This allows unauthenticated attackers to access and load arbitrary translation files. In cases where an attacker is able to upload a crafted translation file onto the site, such as via an upload form, this could be also used to perform a Cross-Site Scripting attack.

EPSS

Процентиль: 99%
0.71468
Высокий

5.4 Medium

CVSS3

6.1 Medium

CVSS3

Дефекты

CWE-22