WordPress Plugin admin-word-count-column 2.2 contains a local file read vulnerability that allows unauthenticated attackers to read arbitrary files by exploiting null byte injection in the path parameter. Attackers can send GET requests to download-csv.php with a crafted path parameter containing directory traversal sequences and null bytes to bypass file restrictions and read sensitive files like system configuration.
The admin-word-count-column WordPress plugin version 2.2 contains a local file read vulnerability allowing unauthenticated attackers to read arbitrary files through null byte injection and directory traversal in the path parameter. Attackers can exploit download-csv.php to access sensitive system configuration files and other protected data.
تحتوي إضافة WordPress admin-word-count-column الإصدار 2.2 على ثغرة في قراءة الملفات المحلية تسمح للمهاجمين غير المصرح لهم بقراءة ملفات عشوائية من خلال استغلال حقن البايت الفارغ في معامل المسار. يمكن للمهاجمين إرسال طلبات GET إلى download-csv.php مع معامل مسار مصنوع يحتوي على تسلسلات اجتياز الدلائل وبايتات فارغة لتجاوز قيود الملفات والوصول إلى ملفات حساسة مثل إعدادات النظام.
The admin-word-count-column WordPress plugin version 2.2 contains a local file read vulnerability allowing unauthenticated attackers to read arbitrary files through null byte injection and directory traversal in the path parameter. Attackers can exploit download-csv.php to access sensitive system configuration files and other protected data.
Update the admin-word-count-column plugin to version 2.3 or later immediately. Implement input validation and sanitization for the path parameter, disable null byte handling in file operations, and restrict file access to designated directories only. Apply principle of least privilege to plugin execution and monitor file access logs for suspicious activity.
قم بتحديث إضافة admin-word-count-column إلى الإصدار 2.3 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيفها لمعامل المسار، وعطّل معالجة البايت الفارغ في عمليات الملفات، وقيّد الوصول إلى الملفات في الدلائل المخصصة فقط. طبق مبدأ أقل صلاحية لتنفيذ الإضافة ومراقبة سجلات الوصول للملفات للنشاط المريب.