CVE-2016-20078
ŚrednieCVSS 6.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 48 — wyżej niż 48% wszystkich znanych CVE
Streszczenie
Wtyczka WordPress IMDb Profile Widget w wersji 1.0.8 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez manipulację parametrem url. Atakujący mogą wykorzystać sekwencje przejścia katalogu w żądaniach GET do pic.php, aby uzyskać dostęp do wrażliwych plików, takich jak wp-config.php, zawierających dane uwierzytelniające do bazy danych oraz dane konfiguracyjne.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym dostęp do poufnych informacji, co może prowadzić do kompromitacji całej aplikacji oraz danych użytkowników.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, która eliminuje tę podatność, oraz przeglądanie i zabezpieczanie plików konfiguracyjnych przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
WordPress IMDb Profile Widget 1.0.8 contains a local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by manipulating the url parameter. Attackers can supply directory traversal sequences in GET requests to pic.php to access sensitive files like wp-config.php containing database credentials and configuration data.

