CVE-2016-20080
ŚrednieCVSS 6.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
Wtyczka Brandfolder dla WordPressa w wersji 3.0 i wcześniejszych zawiera podatność na lokalne włączenie pliku w pliku callback.php, co pozwala nieautoryzowanym atakującym na włączenie dowolnych plików poprzez manipulację parametrem wp_abspath.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do wrażliwych plików, takich jak wp-config.php, co może prowadzić do przejęcia kontroli nad witryną lub wykonania zdalnego kodu.
Rekomendacja
Zaleca się aktualizację wtyczki Brandfolder do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
WordPress Brandfolder plugin version 3.0 and earlier contains a local file inclusion vulnerability in callback.php that allows unauthenticated attackers to include arbitrary files by manipulating the wp_abspath parameter. Attackers can supply path traversal sequences or remote URLs through the wp_abspath parameter to read sensitive files like wp-config.php or execute remote code.

