漏洞描述
适用于 WordPress 的 HUSKY – WooCommerce 插件的 HUSKY – Products Filter Professional forWooCommerce 插件在 1.3.6.5 之前的所有版本中都容易受到本地文件包含的攻击,通过 woof_text_searchAJAX作的“template”参数。这使得未经身份验证的攻击者可以在服务器上包含和执行任意文件,从而允许执行这些文件中的任何 PHP代码。这可用于绕过访问控制、获取敏感数据,或在可以上传和包含图像和其他“安全”文件类型的情况下实现代码执行。