CVE-2022-2431 in Download Manager Plugin情報

要約

〜によって VulDB • 2026年05月17日

WordPress用Download Managerプラグインには、バージョン3.2.50以前において、任意のファイル削除の脆弱性が存在します。これは、~/Admin/Menu/Packages.phpファイル内のdeleteFiles()関数におけるファイルタイプおよびパスの検証が不十分であることが原因で、ダウンロード投稿の削除時にトリガーされます。これにより、投稿者レベル以上のユーザーが、ダウンロード投稿の作成時に'file[files]'パラメータを通じて任意のファイルパスを指定でき、ユーザーが投稿を削除すると、指定された任意のファイルが削除されます。攻撃者はこれを利用して/wp-config.phpファイルを削除し、インストールをリセットさせることで、サーバー上でリモートコード実行(RCE)を達成することが可能になります。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

Wordfence

予約する

2022年07月15日

モデレーション

承諾済み

エントリ

VDB-207899

EPSS

0.02678

アクティビティ

非常低い

セクター

Hostingprovider

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!