CVE-2024-10629丨GPX Viewer <= 2.2.8 — 经过身份验证 (Subscriber+) 任意文件创建

2024年11月14日 172点热度 0人点赞 0条评论

GPX Viewer <= 2.2.8 — 经过身份验证 (Subscriber+) 任意文件创建 (CVE-2024-10629)

CVE编号

CVE-2024-10629

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-13

漏洞描述

WordPress中的GPX Viewer插件存在任意文件创建漏洞，该漏洞是由于在gpxv_file_upload()函数中缺少权限检查和文件类型验证所致，影响所有版本至包括（含）2.2.8版本。这使得具有订阅者级别访问权限及以上的认证攻击者能够在受影响网站的服务器上创建任意文件，并可能实现远程代码执行。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/gpx-viewer/tags/2.2.9/gpx-viewer-a...
https://www.wordfence.com/threat-intel/vulnerabilities/id/cfc6ff21-52f5-453f-...

CVE-2024-10629丨GPX Viewer <= 2.2.8 — 经过身份验证 (Subscriber+) 任意文件创建

GPX Viewer <= 2.2.8 — 经过身份验证 (Subscriber+) 任意文件创建 (CVE-2024-10629)

漏洞描述

解决建议

参考链接

文章评论