File Manager Advanced Shortcode <= Plusieurs Versions - Inclusion Locale de Fichier JavaScript via Shortcode (Administrateur+ Authentifié)

Cette vulnérabilité permet à un attaquant authentifié d'exploiter la fonction 'filemanageradvanced' pour inclure des fichiers JavaScript malveillants. L'attaquant peut ainsi contourner les contrôles d'accès, voler des données sensibles ou même exécuter du code arbitraire sur le serveur WordPress. L'exploitation réussie peut mener à la compromission complète du site web, y compris la modification de contenu, l'injection de malware ou le vol d'informations confidentielles des utilisateurs. La capacité d'inclure des fichiers JavaScript, en particulier ceux pouvant être téléchargés en tant qu'images ou autres types de fichiers considérés comme sûrs, augmente considérablement le risque d'exploitation.

WordPress sites utilizing the File Manager Advanced Shortcode plugin, particularly those with administrator accounts that have access to the file management functionality, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

• wordpress / plugin:

wp plugin list | grep 'File Manager Advanced Shortcode'

• wordpress / plugin: Check the plugin version. If it's <= 2.5.6, the system is vulnerable.

wp plugin list --status=active | grep 'File Manager Advanced Shortcode'

• wordpress / plugin: Examine WordPress logs for suspicious file inclusion attempts involving the 'filemanageradvanced' shortcode.

grep 'file_manager_advanced' /var/log/apache2/error.log

• wordpress / plugin: Review file upload directories for unexpected JavaScript files.

ls -l /path/to/wordpress/wp-content/uploads/

1. 2025-05-15Disclosure

   disclosure

1. Réservé2025-03-01
2. Publiée2025-05-15
3. Modifiée2025-07-01
4. EPSS mis à jour2026-04-02

La mitigation principale consiste à mettre à jour le plugin File Manager Advanced Shortcode vers la version 2.6.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre les autorisations d'accès au plugin et à surveiller attentivement les journaux du serveur pour détecter toute activité suspecte. Il est également recommandé de désactiver temporairement le plugin si cela n'affecte pas les fonctionnalités essentielles du site. Après la mise à jour, vérifiez que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.