CVE-2020-36726
🔴 Łataj teraz
Wtyczka Ultimate Reviews dla WordPressa jest podatna na wstrzyknięcie obiektów PHP, co umożliwia atakującym wstrzyknięcie obiektu PHP.
CVSS
9.8
EPSS
1.1%
Exploit
poc
Vendor
etoilewebdesign
Opis źródłowy (NVD)
The Ultimate Reviews plugin for WordPress is vulnerable to PHP Object Injection in versions up to, and including, 2.1.32 via deserialization of untrusted input in several vulnerable functions. This allows unauthenticated attackers to inject a PHP Object. No POP chain is present in the vulnerable plugin.
deserialization exploit
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 1.1% |
| Opublikowano (NVD) | 2023-06-07 02:15:12 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-08 19:17:36 UTC |
Referencje
- https://blog.nintechnet.com/wordpress-ultimate-reviews-plugin-fixed-insecure-deserialization-vulnerability/ (security@wordfence.com) [Exploit]
- https://plugins.trac.wordpress.org/changeset/2409141 (security@wordfence.com) [Release Notes]
- https://www.wordfence.com/threat-intel/vulnerabilities/id/db30acd7-ce51-45d9-8ff0-6ceea8237a8c?source=cve (security@wordfence.com) [Third Party Advisory]