WordPress · Powerpress · CVE-2021-24123
**Nome do software vulnerável e versões afetadas:
Versões do plugin PowerPress para WordPress anteriores à 8.3.8
Descrição:
A vulnerabilidade permite que contas com privilégios elevados (admin+) enviem arquivos arbitrários, como arquivos PHP, devido à falta de verificação de algumas imagens de feed enviadas, como as da seção “Podcast Artwork”. Isso pode levar à execução remota de código (RCE).
Recomendações:
Para versões anteriores à 8.3.8, atualize para a versão 8.3.8 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à seção Podcast Artwork e limitar os tipos de arquivos que podem ser enviados por contas com privilégios elevados.