漏洞描述

5.12.3版本之前的Advanced Custom Fields WordPress插件、5.12.3版本之前的Advanced Custom Fields Pro WordPress插件，允许未经验证的用户上传默认WP配置中允许的文件（因此PHP不可行的），如果有可用的前端表单。该漏洞是在5.0重写中引入的，在该版本之前不存在。

分析说明

5.12.3版本之前的Advanced Custom Fields WordPress插件、5.12.3版本之前的Advanced Custom Fields Pro WordPress插件，允许未经验证的用户上传默认WP配置中允许的文件（因此PHP不可行的），如果有可用的前端表单。该漏洞是在5.0重写中引入的，在该版本之前不存在。

严重性

高危

范围

5.0~5.12.3版本之前的Advanced Custom Fields WordPress插件

5.0~5.12.3版本之前的Advanced Custom Fields Pro WordPress插件

解决方案

https://wpscan.com/vulnerability/3fde5336-552c-4861-8b4d-89a16735c0e2