CVE-2022-2434 in String Locator Plugininformazioni

Riassunto

di VulDB • 26/06/2026

Il plugin String Locator per WordPress è vulnerabile alla deserializzazione di input non attendibili tramite il parametro 'string-locator-path' nelle versioni fino alla 2.5.0, inclusa. Ciò consente agli utenti non autenticati di invocare file utilizzando un wrapper PHAR, a patto che riescano a indurre l'amministratore del sito ad eseguire un'azione come cliccare su un link, che porterà alla deserializzazione e all'invocazione di oggetti PHP arbitrari utilizzabili per una varietà di azioni malevole, purché sia presente anche una catena POP (Object Injection Chain). È inoltre necessario che l'attaccante riesca a caricare con successo un file contenente il payload serializzato.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Wordfence

Prenotare

15/07/2022

Divulgazione

06/09/2022

Moderazione

accettato

CPE

pronto

EPSS

0.01279

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!