PT-2020-15677 · WordPress · Wp File Manager
Publicado
2020-08-26
·
Atualizado
2025-03-24
·
CVE-2020-24312
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
WP File Manager versões 6.4 e anteriores
Descrição
A falha permite que usuários não autenticados visualizem e baixem backups do site, incluindo backups completos do banco de dados, devido à falta de restrição ao acesso externo ao diretório fm backups. Isso ocorre porque o arquivo .htaccess não está configurado corretamente para proteger o diretório.
Recomendações
Para as versões 6.4 e anteriores do WP File Manager, considere adicionar um arquivo .htaccess devidamente configurado ao diretório fm backups para restringir o acesso externo até que uma correção esteja disponível. Como solução temporária, restrinja o acesso ao diretório fm backups para minimizar o risco de exploração.
Exploit
Correção
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp File Manager