CVE-2024-10672丨Multiple Page Generator Plugin – MPG <= 4.0.2 - Authenticated (Editor+) Directory Traversal to Limited File Deletion

2024年11月12日 170点热度 0人点赞 0条评论

Multiple Page Generator Plugin – MPG <= 4.0.2 - Authenticated (Editor+) Directory Traversal to Limited File Deletion (CVE-2024-10672)

CVE编号

CVE-2024-10672

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-12

漏洞描述

WordPress中的多页面生成器插件（MPG插件）存在任意文件删除漏洞。该漏洞存在于所有版本至包括4.0.2版本的mpg_upsert_project_source_block()函数中，由于文件路径验证不足而导致。这使得经过身份验证的攻击者（拥有编辑级别及以上的访问权限）有可能删除服务器上的有限文件。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/multiple-pages-generator-by-portha...
https://plugins.trac.wordpress.org/browser/multiple-pages-generator-by-portha...
https://plugins.trac.wordpress.org/changeset/3183330/multiple-pages-generator...
https://www.wordfence.com/threat-intel/vulnerabilities/id/8c21de03-4d62-4ecf-...

CVE-2024-10672丨Multiple Page Generator Plugin – MPG <= 4.0.2 - Authenticated (Editor+) Directory Traversal to Limited File Deletion

Multiple Page Generator Plugin – MPG <= 4.0.2 - Authenticated (Editor+) Directory Traversal to Limited File Deletion (CVE-2024-10672)

漏洞描述

解决建议

参考链接

文章评论