WordPress评论插件wpDiscuz任意文件上传漏洞¶
漏洞描述 wordpress评论插件wpDiscuz导致的任意文件上传漏洞,没有安装wpDiscuz插件是没有此漏洞的。 影响范围 wpDiscuz v7.0.0-v7.0.4 环境搭建 https://cn.wordpress.org/latest-zh_CN.zip https://downloads.wordpress.org/plugin/wpdiscuz.7.0.3.zip 管理员登录,在插件模块安装wpdiscuz插件,即可看到评论界面变成这个样子,点击图片的小标可上传图片。
上传一句话木马,修改为GTF头 蚁剑连接成功