WP Ultimate CSV Importer远程代码执行分析-CVE-2023-4142

1.前言

WordPress的WP Ultimate CSV Importer插件易受远程代码执行的攻击

2.影响版本

<=7.9.8（所有用户）
其他版本（管理员

3.漏洞信息

此漏洞发生在ImportHelpers.php中的get_header_values函数。

 
trim_content数组为漏洞触发位置
$header_trim 的作用是用来存储 $map 数组中经过处理后的键名。
在函数中，通过循环遍历 $map 数组，对于每个键名，如果它包含了 ->s