Уязвимость была обнаружена в контактной форме Rocklobster 7 до версии 5.3.1 на WordPress (плагин WordPress). Это было классифицировано как критическое. Затронут неизвестный блок кода. Манипуляции с именем файла аргумента с неизвестным входом приводят к уязвимости повышения привилегий. CWE классифицирует проблему как CWE-434. Это повлияет на конфиденциальность, целостность и доступность.
Слабость была раскрыта 18.12.2020. Консультации доступны на wpscan.com. Эта уязвимость продается как CVE-2020-35489. Есть возможность запустить атаку удаленно. Требование для эксплуатации — аутентификация. Технические подробности известны, но нет доступного эксплойта.
Обновление до версии WordPress 5.3.2 устраняет эту уязвимость.