日期:2022-12-24 分类:插件

如果你使用了这个插件,那么请尽快升级插件版本,目前该插件的漏洞描述如下:

描述内容方面经过翻译如下:

WordPress 3.3.1 之前的 YITH WooCommerce Gift Cards Premium 插件中存在任意文件上传漏洞,允许远程攻击者在 Web 服务器的安全上下文中在操作系统上实现远程代码执行。为了利用此漏洞,攻击者必须能够将有效的礼品卡产品放入购物车。上传的文件以用户指定的文件名和扩展名放置在 Web 服务器上的预定路径中。发生这种情况是因为 ywgc-upload-picture 参数可以有一个 .php 值,即使其目的是只允许上传礼品卡图像。

插件出现漏洞是很正常的事情,毕竟要兼容每个版本还是考虑到插件之间的兼容性,很难顾及到每个方面,但是插件出现漏洞导致站点被黑或者别的问题又是许多人比较担心的,不过换句话说,不管怎么样,经常备份数据,进行一些常规的规避手段是必不可少的。

最后附上截图页面地址: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/yith-woocommerce-gift-cards-premium/yith-woocommerce-gift-cards-premium-330-arbitrary-file-upload