WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress插件TheCartPress存在本地PHP文件包含漏洞。由于通过"tcp_box_path" HTTP POST参数传递到"/wp-admin/admin.php?page=checkout_editor_settings" URL的输入在被使用PHP include()功能未能正确检查,通过目录遍历序列滥用包括任意本地文件。攻击者需要具有在WordPress安装管理员权限,通过CSRF载体到脆弱的脚本。

Wordpress TheCartPress Plugin <= 1.3.9

目前没有详细解决方案提供: