【plugin】『Qi Addons For Elementor』(versions 1.7.2 以下) Authenticated (Contributor+) Local File Inclusionの脆弱性


WordPress 用 Qi Addons For Elementor プラグインは、1.7.2 までのすべてのバージョンにおいて、qi_addons_for_elementor_blog_list ショートコードに見られる ‘behavior’ 属性を経由したリモートファイルインクルードの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、サーバー上のリモートファイルをインクルードすることが可能となり、コードの実行につながります。これは、攻撃者が存在しないディレクトリを作成するか、パスに存在しないディレクトリがあってもfile_existsがfalseを返さないインスタンスをターゲットにする必要があることに注意してください。




This record contains material that is subject to copyright

Copyright 2012-2024 Defiant Inc.

License:Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.