0x01 产品描述:
File Upload插件是一款功能强大的WordPress站点文件上传插件,它允许用户在WordPress站点中的文章、页面、侧边栏或表单中轻松上传文件到wp-contents目录中的任何位置。该插件使用最新的HTML5技术,确保在现代浏览器和移动设备上都能流畅运行,同时也兼容旧的浏览器。它能够满足用户在不同场景下的文件上传需求,并提供了丰富的自定义选项和高级功能。
0x02 漏洞描述:
WordPres File Upload插件中存在任意文件读取漏洞,主要是位于 /wp-content/plugins/wp-file-upload/wfu_file_downloader.php 中的wfu_fopen_for_downloader 方法使用fopen 函数导致文件读取操作。
0x03 影响版本:
WordPress File Upload <= 4.24.11
0x04 搜索语句:
Fofa:"wp-content/plugins/wp-file-upload"
