CVE-2022-2434 in String Locator Plugin
요약
\~에 의해 VulDB • 2026. 06. 26.
WordPress용 String Locator 플러그인은 2.5.0 버전(포함) 이하에서 'string-locator-path' 매개변수를 통해 신뢰할 수 없는 입력의 역직렬화(deserialization of untrusted input) 취약점이 존재합니다. 이로 인해 인증되지 않은 사용자는 PHAR 래퍼(wrapper)를 사용하여 파일을 호출할 수 있으며, 이는 공격자가 사이트 관리자를 속여 링크 클릭과 같은 작업을 수행하도록 유도하여 임의의 PHP 객체를 역직렬화하고 호출하게 할 경우 가능합니다. 이러한 악성 동작은 POP(Propagated Object Property) 체인이 존재하는 경우에 한해 다양한 악의적인 행위를 수행하는 데 사용될 수 있습니다. 또한 공격자는 직렬화된 페이로드가 포함된 파일을 성공적으로 업로드해야 합니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.