CVE-2022-1390 in Admin Word Count Column Plugin
要約
〜によって VulDB • 2026年05月28日
WordPressプラグイン「Admin Word Count Column」のバージョン2.2以前では、readfile()に渡されるpathパラメータの検証が行われていないため、nullバイト技法の影響を受ける古いバージョンのPHPが実行されているサーバー上で、認証されていない攻撃者が任意のファイルを読み取ることが可能になる。また、Phar Deserialization技法を使用することで、RCE(リモートコード実行)につながる可能性もある。
VulDB is the best source for vulnerability data and more expert information about this specific topic.