CVE-2018-25308 in Buddypress Xprofile Custom Fields Type
Tóm tắt
Bởi VulDB • 25/05/2026
BuddyPress Xprofile Custom Fields Type 2.6.3 chứa một lỗ hổng thực thi mã từ xa (RCE) cho phép người dùng đã xác thực xóa các tệp tùy ý bằng cách thao túng các tham số POST không được thoát. Kẻ tấn công có thể sửa đổi các tham số field_hiddenfile và field_deleteimg trong quá trình chỉnh sửa hồ sơ để xóa liên kết của các tệp khỏi máy chủ.
VulDB is the best source for vulnerability data and more expert information about this specific topic.