Informazioni sul CVE-2023-0080
Customer Reviews for WooCommerce < 5.16.0 – Contributor+ LFI
CWE ID: N/A
Base Score (CVSS): N/A
CVE: CVE-2023-0080
Descrizione: The Customer Reviews for WooCommerce WordPress plugin before 5.16.0 does not validate one of its shortcode attribute, which could allow users with a contributor role and above to include arbitrary files via a traversal attack. This could also allow them to read non PHP files and retrieve their content. RCE could also be achieved if the attacker manage to upload a malicious image containing PHP code, and then include it via the affected attribute, on a default WP install, authors could easily achieve that given that they have the upload_file capability.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- Unknown – Customer Reviews for WooCommerce
Relazioni con altri prodotti
Produttore:Unknown
Prodotto: Customer Reviews for WooCommerce
Anno: 2023
CWE:
CVSS: 0.0