The Query Shortcode plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 0.2.1 via the shortcode function. This makes it possible for authenticated attackers, with contributor-level access and above, to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php file types can be uploaded and included.
The Query Shortcode WordPress plugin versions up to 0.2.1 contains a Local File Inclusion vulnerability allowing authenticated contributors to include and execute arbitrary PHP files. Attackers can bypass access controls, steal sensitive data, or achieve remote code execution through uploaded PHP files.
ثغرة Local File Inclusion في إضافة Query Shortcode للووردبريس تؤثر على جميع الإصدارات حتى 0.2.1. تسمح الثغرة للمهاجمين المصرح لهم بمستوى المساهم وما فوق بتضمين وتنفيذ ملفات PHP عشوائية على الخادم. يمكن استغلال هذه الثغرة لتجاوز عناصر التحكم في الوصول والحصول على بيانات حساسة أو تنفيذ أكواد عشوائية.
The Query Shortcode WordPress plugin versions up to 0.2.1 contains a Local File Inclusion vulnerability allowing authenticated contributors to include and execute arbitrary PHP files. Attackers can bypass access controls, steal sensitive data, or achieve remote code execution through uploaded PHP files.
Update Query Shortcode plugin to version 0.2.2 or later immediately. Restrict contributor-level access to trusted users only. Implement file upload restrictions to prevent PHP file uploads. Monitor and audit all shortcode usage. Consider disabling the plugin if updates are unavailable.
قم بتحديث إضافة Query Shortcode إلى الإصدار 0.2.2 أو أحدث فوراً. قيّد وصول مستوى المساهم للمستخدمين الموثوقين فقط. طبّق قيوداً على تحميل الملفات لمنع تحميل ملفات PHP. راقب وتدقق في جميع استخدامات الاختصارات. فكّر في تعطيل الإضافة إذا لم تتوفر تحديثات.