CVE-2016-20081
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 46 - wyżej niż 46% wszystkich znanych CVE
Streszczenie
Wtyczka WordPress HB Audio Gallery Lite w wersji 1.0.0 zawiera podatność na przejście ścieżki, która pozwala nieautoryzowanym atakującym na pobieranie dowolnych plików poprzez manipulację parametrem file_path. Atakujący mogą wysyłać żądania do punktu końcowego audio-download.php z sekwencjami przejścia katalogu, aby uzyskać dostęp do wrażliwych plików, takich jak wp-config.php, poza zamierzonym katalogiem galerii.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym dostęp do wrażliwych danych, co może prowadzić do kompromitacji całej instalacji WordPressa.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, która naprawia tę podatność, oraz monitorowanie logów serwera w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
WordPress Plugin HB Audio Gallery Lite 1.0.0 contains a path traversal vulnerability that allows unauthenticated attackers to download arbitrary files by manipulating the file_path parameter. Attackers can send requests to the audio-download.php endpoint with directory traversal sequences to access sensitive files like wp-config.php outside the intended gallery directory.

