Wordfence gözlegçiler topary WordPress Download Manager plaginiň gowşaklygyny ýüze çykardylar, gowşaklyk üçin CVE-2021-34639 identifikatory berildi. Gowşaklygyň ulanylmagy käbir ýagdaýlarda erkin kod ýerine ýetirmek mümkinçiligini berýär.

Hususan-da, bu gowşaklygyň kömegi bilen saýt awtorlaryň hukuklary bilen saýt ulanyjylary we beýleki ulanyjylar "upload_files" funksiýasyny php4 giňeltmesi bilen faýl ýüklemek üçin ulanyp bilerler. Howply bolup biljek faýllaryň beýleki görnüşlerini hem gowşak sahypa ýüklemek mümkin.

Gowşaklyk üçin CVSS görkezijisi boýunça 7.5 derejesi berildi. Bu ýalňyşlyk WordPress Download Manager plaginiň 3.1.24 we has irki wersiýalaryna täsir edýär. Döredijileriň sözlerine görä, bu mesele maý aýynda düzedildi. Mundan başga-da, döredijiler pes hukuklary bolan ulanyjylara wp-config.php faýlyna girmek mümkinçiligini berýän CVE-2021-34638 (CVSS görkezijisi boýunça 6.5 dereje) gowşaklygy aýyrdylar.

Çeşme: anti-malware.ru