CVE-2023-6316

CRÍTIC: (9,8)

CVSS3: 8,5

MW WP Form Plugin per a WordPress podria permetre que un atacant remot carregui fitxers arbitraris, causat per la validació incorrecta de les extensions de fitxer quan l’opció “Desar les dades de consulta a la base de dades” està habilitada. En enviar una sol·licitud HTTP especialment dissenyada, un atacant remot podria explotar aquesta vulnerabilitat per carregar un script PHP maliciós, que podria permetre a l’atacant executar codi PHP arbitrari al sistema vulnerable.

Sistemes Afectats

• WordPress MW WP Form Plugin for WordPress 5.0.1

Remediació
Actualitzeu a la darrera versió de MW WP Form Plugin per a WordPress (5.0.1 o posterior), disponible al Directori de complements de WordPress. Vegeu-ne les Referències.

Referències

• WordPress plugin “MW WP Form” vulnerable to arbitrary file upload
• MW WP Form – WordPress plugin