WordPress File Upload插件任意文件读取漏洞复现（CVE-2024-9047）（附脚本）

article2024/12/26 21:02:56/文章来源:https://blog.csdn.net/xc_214/article/details/144715529

0x01 产品描述：

File Upload插件是一款功能强大的WordPress站点文件上传插件，它允许用户在WordPress站点中的文章、页面、侧边栏或表单中轻松上传文件到wp-contents目录中的任何位置。该插件使用最新的HTML5技术，确保在现代浏览器和移动设备上都能流畅运行，同时也兼容旧的浏览器。它能够满足用户在不同场景下的文件上传需求，并提供了丰富的自定义选项和高级功能。
0x02 漏洞描述：

WordPres File Upload插件中存在任意文件读取漏洞，主要是位于 /wp-content/plugins/wp-file-upload/wfu_file_downloader.php 中的wfu_fopen_for_downloader 方法使用fopen 函数导致文件读取操作。

0x03 影响版本：

WordPress File Upload <= 4.24.11

利用条件：

WordPress 安装使用 PHP 7.4 或更早版本

WordPress File Upload <= 4.24.11
0x04 搜索语句：

Fofa:"wp-content/plugins/wp-file-upload"

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：/a/942787.html

如若内容造成侵权/违法违规/事实不符，请联系我们进行投诉反馈qq邮箱809451989@qq.com，一经查实，立即删除！