CVE-2021-24145

**Nome do software vulnerável e versões afetadas:

Versões do Modern Events Calendar Lite anteriores à 5.16.5

Descrição:

A vulnerabilidade permite o upload arbitrário de arquivos devido à verificação inadequada dos arquivos importados. Um administrador pode fazer upload de arquivos PHP usando o tipo de conteúdo ‘text/csv’ na solicitação. Isso pode levar à execução remota de código. O arquivo enviado é normalmente armazenado no diretório padrão /uploads/. Houve incidentes reais em que essa vulnerabilidade foi explorada, incluindo um desafio do tipo “capture-the-flag” em que a vulnerabilidade foi usada para a execução remota de código.

Recomendações:

Para versões anteriores à 5.16.5, atualize para a versão 5.16.5 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração. Além disso, restrinja o acesso ao diretório /uploads/ para impedir a execução de arquivos PHP enviados.