WordPress · Wordpress Post Grid Layouts With Pagination – Sogrid · CVE-2024-8392
Nome do software vulnerável e versões afetadas:
WordPress Post Grid Layouts with Pagination – Versões do plugin Sogrid até a 1.5.2, inclusive
Descrição:
A vulnerabilidade permite que invasores autenticados com acesso de nível de administrador ou superior incluam e executem arquivos arbitrários no servidor por meio do parâmetro `tab`. Isso possibilita a execução de qualquer código PHP nesses arquivos, o que pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código, especialmente em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos. A vulnerabilidade também pode ser explorada por meio de técnicas CSRF.
Recomendações:
Para versões até e incluindo a 1.5.2, considere desativar a funcionalidade do parâmetro `tab` até que um patch esteja disponível para impedir a exploração.
Restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de inclusão e execução de arquivos arbitrários.
Evite usar o parâmetro `tab` em pontos de extremidade da API até que a vulnerabilidade seja resolvida.
Como solução alternativa temporária, restrinja o acesso de nível de administrador e superior apenas a usuários confiáveis.