CVE-2021-47933

WordPress MStore API 2.0.6 Arbitrary File Upload

CVSS 9.3 CRITICALEPSS 0.6%CWE-306

WordPress MStore API 2.0.6 contains an arbitrary file upload vulnerability that allows unauthenticated attackers to upload malicious files by sending POST requests to the REST API endpoint. Attackers can upload PHP files with arbitrary names to the config_file endpoint to achieve remote code execution on the server.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Produtos afetados

mstore · MStore API

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/50379não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://wordpress.org/plugins/mstore-api/https://www.exploit-db.com/exploits/50379 https://www.vulncheck.com/advisories/wordpress-mstore-api-arbitrary-file-upload