Tumult Hype Animations <= 1.9.15 - 通过 hypeanimations_panel 函数进行经过身份验证的 (Author+) 任意文件上传 (CVE-2024-11082)
CVE编号
CVE-2024-11082
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-28
漏洞描述
WordPress中的Tumult Hype Animations插件存在任意文件上传漏洞,该漏洞是由于在包括1.9.15版本在内的所有版本中,hypeanimations_panel()函数缺少文件类型验证。这使得具有作者级别及以上访问权限的认证攻击者能够在受影响网站的服务器上上传任意文件,并可能实现远程代码执行。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论