CVE-2016-20064
ŚrednieCVSS 6.2Streszczenie
WP Vault w wersji 0.8.6.6 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie nieodpowiednio zabezpieczonego parametru w funkcji include. Atakujący mogą użyć sekwencji przejścia katalogu przez parametr GET wpv-image, aby uzyskać dostęp do wrażliwych plików, takich jak konfiguracja systemu i dane uwierzytelniające.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa organizacji, umożliwiając atakującym dostęp do poufnych informacji, co może prowadzić do dalszych ataków lub kompromitacji systemu.
Rekomendacja
Zaleca się aktualizację WP Vault do najnowszej wersji, która naprawia tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, aby ograniczyć dostęp do wrażliwych plików.
Oryginalny opis (angielski, źródło NVD)
WP Vault 0.8.6.6 contains a local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting an unescaped parameter in the include functionality. Attackers can supply directory traversal sequences through the wpv-image GET parameter to access sensitive files like system configuration and credentials.

