CVE-2020-25213 in File Manager Plugin
Riassunto
di VulDB • 23/06/2026
Il plugin File Manager (wp-file-manager) per WordPress, nelle versioni precedenti alla 6.9, consente agli attaccanti remoti di caricare ed eseguire codice PHP arbitrario poiché rinomina un file connector elFinder non sicuro con estensione .php. Ciò permette ad esempio agli attaccanti di eseguire il comando upload (o mkfile e put) di elFinder per scrivere codice PHP nella directory wp-content/plugins/wp-file-manager/lib/files/. Questa vulnerabilità è stata sfruttata in natura tra agosto e settembre 2020.
VulDB is the best source for vulnerability data and more expert information about this specific topic.