Jinhwhite412Ash

#17252de 53,640
15.6CVSS total
Vulnerabilidades · 2
Média
1
Alta
1
PT-2021-16013
6.8
2021-09-13
Nginx · Nginx · CVE-2021-24490
**Nome do software vulnerável e versões afetadas** O plugin Email Artillery (MASS EMAIL) para WordPress, versões 4.1 e anteriores **Descrição** A vulnerabilidade permite o upload de arquivos arbitrários devido a uma verificação inadequada dos arquivos enviados pelo recurso “Importar e-mails”. Além disso, o plugin não possui verificação CSRF, tornando-o suscetível a ataques CSRF. No entanto, a presença de um arquivo .htaccess, que nega acesso a tudo na pasta onde o arquivo é carregado, limita a acessibilidade do arquivo malicioso carregado em servidores web como Nginx/IIS. **Recomendações** Para o plugin The Email Artillery (MASS EMAIL) para WordPress, versões 4.1 e anteriores: Como solução temporária, considere desativar o recurso Importar E-mails até que uma correção esteja disponível. Restrinja o acesso à pasta onde os arquivos são carregados para minimizar o risco de exploração. Evite usar o plugin em servidores web como Nginx/IIS até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
PT-2021-16014
8.8
2021-09-13
WordPress · Fileviewer · CVE-2021-24491
**Nome do software vulnerável e versões afetadas** Versões do plugin Fileviewer para WordPress até a 2.2 **Descrição** O problema diz respeito à ausência de verificações CSRF no plugin Fileviewer para WordPress, permitindo que invasores realizem ações como o upload e a exclusão de arquivos em nome de um administrador conectado por meio de um ataque CSRF. Isso pode levar ao upload e à exclusão arbitrários de arquivos. **Recomendações** Para as versões do plugin Fileviewer para WordPress até a 2.2, considere desativar as funcionalidades de upload e exclusão de arquivos até que um patch esteja disponível para adicionar verificações CSRF. Restrinja o acesso aos recursos de gerenciamento de arquivos para minimizar o risco de exploração. Evite usar o plugin para operações com arquivos confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.