CVE-2022-2434 in String Locator Pluginالمعلومات

الملخص

بحسب VulDB • 07/06/2026

يحتوي مكون "String Locator" الإضافي لـ WordPress على ثغرة تسمح بنزع الثقة من البيانات غير الموثوقة (deserialization of untrusted input) عبر المعلمة 'string-locator-path' في الإصدارات حتى 2.5.0 وشاملة لها. يتيح ذلك للمستخدمين غير المصادق عليهم استدعاء الملفات باستخدام غلاف PHAR، شريطة أن يتمكنوا من خداع مسؤول الموقع لتنفيذ إجراء مثل النقر على رابط، مما يؤدي إلى نزع الثقة واستدعاء كائنات PHP عشوائية يمكن استخدامها لتنفيذ مجموعة متنوعة من الإجراءات الخبيثة، بشرط وجود سلسلة استغلال كائنات (POP chain) أيضًا. يتطلب الأمر أيضًا أن ينجح المهاجم في رفع ملف يحتوي على الحمولة المشفرة (serialized payload).

Once again VulDB remains the best source for vulnerability data.

مسؤول

Wordfence

حجز

15/07/2022

إفشاء

06/09/2022

الاعتدال

تمت الموافقة

إدخال

VDB-207901

EPSS

0.01279

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Interested in the pricing of exploits?

See the underground prices here!