CVE-2020-11026

Versões do WordPress anteriores à 5.4.1

Versões do WordPress 5.3.3, 5.2.6, 5.1.5, 5.0.9, 4.9.14, 4.8.13, 4.7.17, 4.6.18, 4.5.21, 4.4.22, 4.3.23, 4.2.27, 4.1.30, 4.0.30, 3.9.31, 3.8.33, 3.7.33

Nas versões afetadas do WordPress, arquivos com um nome especialmente criado, quando enviados para a seção Mídia, podem levar à execução de scripts ao acessar o arquivo. Isso requer um usuário autenticado com privilégios para enviar arquivos. A vulnerabilidade está relacionada a medidas de proteção insuficientes nos componentes formatting.php e SanitizeFileName.php, o que pode permitir que um invasor remoto comprometa a integridade dos dados.

Para versões anteriores à 5.4.1, atualize para a versão 5.4.1 ou posterior para resolver o problema.

Para as versões 5.3.3, 5.2.6, 5.1.5, 5.0.9, 4.9.14, 4.8.13, 4.7.17, 4.6.18, 4.5.21, 4.4.22, 4.3.23, 4.2.27, 4.1.30, 4.0.30, 3.9.31, 3.8.33, 3.7.33, atualize para a respectiva versão secundária ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o envio de arquivos a usuários confiáveis até que um patch seja aplicado.