跳转至

WordPress评论插件wpDiscuz任意文件上传漏洞

漏洞描述 wordpress评论插件wpDiscuz导致的任意文件上传漏洞,没有安装wpDiscuz插件是没有此漏洞的。 影响范围 wpDiscuz v7.0.0-v7.0.4 环境搭建 https://cn.wordpress.org/latest-zh_CN.zip https://downloads.wordpress.org/plugin/wpdiscuz.7.0.3.zip 管理员登录,在插件模块安装wpdiscuz插件,即可看到评论界面变成这个样子,点击图片的小标可上传图片。 img

上传一句话木马,修改为GTF头 img 蚁剑连接成功 img