CVE-2024-9942丨WPGYM <= 67.1.0 — 未经身份验证的任意文件上传

2024年11月25日 200点热度 0人点赞 0条评论

CVE编号

CVE-2024-9942

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-23

WordPress中的WPGYM健身房管理系统插件存在任意文件上传漏洞，该漏洞存在于所有版本至包括67.1.0的MJ_gmgt_user_avatar_image_upload()函数中缺少文件类型验证。这使得未经验证的攻击者能够在受影响网站的服务器上上传任意文件，并可能导致远程代码执行。

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://codecanyon.net/item/-wpgym-wordpress-gym-management-system/13352964
https://www.wordfence.com/threat-intel/vulnerabilities/id/bae5f22d-5085-4230-...