WordPress Simple Slide Show Plugin “src” tetszőleges fájl feltöltés sérülékenység

2011. szeptember 28. 11:38

CH azonosító

CH-5638

Angol cím

WordPress Simple Slide Show Plugin "src" Arbitrary File Upload Vulnerability

Felfedezés dátuma

2011.09.27.

Súlyosság

Magas

Érintett rendszerek

Simple Slide Show plugin
WordPress

Érintett verziók

WordPress Simple Slide Show plugin 1.0

Összefoglaló

A WordPress Simple Slide Show bővítményének olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak a sérülékeny rendszer feltörésére.

Leírás

A wp-content/plugins/simple-slide-show/timthumb.php “src” paraméterének átadott bemenet nincs megfelelően ellenőrizve, mielőtt felhasználnák azt a fájlok gyorsítótárazásához. Ez kihasználható tetszőleges PHP fájl betöltésére és lefuttatására.

Megjegyzés: Ez a sérülékenység kapcsolatos lehet a TimThumb alkalmazás sérülékenységével. Az alkalmazás a tartalmat nem tárolja megfelelően a gyorsítótár könyvtárban, amikor az “src” paraméteren keresztül átadott bemeneti adat feldolgozása történik, ez kihasználható tetszőleges PHP fájlok feltöltésére és futtatására.

Legfrissebb sérülékenységek

CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége

CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység

CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység

CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység

CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység

CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység

CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység

CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység

CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége

CVE-2025-68428 – jsPDF path traversal sérülékenysége

Tovább a sérülékenységekhez »

WordPress Simple Slide Show Plugin “src” tetszőleges fájl feltöltés sérülékenység