KaymeePhotography Photocart Link 1.6 auf WordPress Configuration Data decode.php ID Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in KaymeePhotography Photocart Link 1.6 für WordPress ausgemacht. Es ist betroffen eine unbekannte Funktion der Datei decode.php der Komponente Configuration Data Handler. Durch Manipulation des Arguments ID mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2016-20077 gehandelt. Es ist möglich, den Angriff aus der Ferne durchzuführen. Ausserdem ist ein Exploit verfügbar.
Details
Es wurde eine Schwachstelle in KaymeePhotography Photocart Link 1.6 auf WordPress ausgemacht. Sie wurde als problematisch eingestuft. Es betrifft unbekannter Code der Datei decode.php der Komponente Configuration Data Handler. Durch das Manipulieren des Arguments id mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-98 vorgenommen. Dies hat Einfluss auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
WordPress Plugin Photocart Link 1.6 contains a local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting insufficient input validation in decode.php. Attackers can supply base64-encoded file paths in the 'id' parameter to the decode.php endpoint to retrieve sensitive files like wp-config.php containing database credentials and configuration data.Die Schwachstelle wurde durch CrashBandicot als 39623 publiziert. Bereitgestellt wird das Advisory unter exploit-db.com. Die Identifikation der Schwachstelle wird seit dem 15.06.2026 mit CVE-2016-20077 vorgenommen. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Der Download des Exploits kann von exploit-db.com geschehen. Er wird als proof-of-concept gehandelt. Durch die Suche von inurl:decode.php können potentiell verwundbare Systeme gefunden werden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Exploit-DB (39623) dokumentiert. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Support
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 5.7VulDB Meta Temp Score: 5.5
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 6.2
CNA Vector (VulnCheck): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-98
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
Google Hack: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔒
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
15.06.2026 Advisory veröffentlicht15.06.2026 CVE zugewiesen
15.06.2026 VulDB Eintrag erstellt
15.06.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: 39623Person: CrashBandicot
Status: Nicht definiert
CVE: CVE-2016-20077 (🔒)
GCVE (CVE): GCVE-0-2016-20077
GCVE (VulDB): GCVE-100-370905
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 15.06.2026 16:51Anpassungen: 15.06.2026 16:51 (84)
Komplett: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.