Плагин WPBot Pro Wordpress Chatbot для WordPress уязвим для произвольной загрузки файлов из-за отсутствия проверки типа файла в функции «qcld_wpcfb_file_upload» во всех версиях до 13.5.4 включительно. Это позволяет неаутентифицированным злоумышленникам загружать произвольные файлы на сервер уязвимого сайта, что может сделать возможным удаленное выполнение кода. Примечание.
Для эксплойта требуется плагин ChatBot Conversational Forms и дополнительный плагин Conversational Form Builder Pro.
Показать оригинальное описание (EN)
The WPBot Pro Wordpress Chatbot plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the 'qcld_wpcfb_file_upload' function in all versions up to, and including, 13.5.4. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible. Note: The exploit requires thee ChatBot Conversational Forms plugin and the Conversational Form Builder Pro addon plugin.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Wpbot Wpot
cpe:2.3:a:wpbot:wpot:*:*:*:*:pro:wordpress:*:*
|
— |
13.5.6
|