Luk6785

**Nome do software vulnerável e versões afetadas** Plugin Customizer Export/Import para versões do WordPress até a 0.9.7, inclusive **Descrição** O plugin Customizer Export/Import para WordPress está vulnerável a uploads arbitrários de arquivos devido à falta de validação do tipo de arquivo na função ` import`. Isso permite que invasores autenticados, com acesso de nível de administrador ou superior, façam upload de arquivos arbitrários no servidor do site afetado, o que pode possibilitar a execução remota de código. A vulnerabilidade só pode ser explorada quando usada em conjunto com uma condição de corrida, já que o arquivo enviado é excluído logo após ser criado. **Recomendações** Para versões até a 0.9.7, inclusive, considere desativar a função ` import` até que um patch esteja disponível para impedir uploads arbitrários de arquivos. Restrinja o acesso à funcionalidade de importação do plugin para minimizar o risco de exploração. Evite usar o plugin para importar arquivos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.