CVE-2021-24191

**Nome do software vulnerável e versões afetadas:

Versões do plugin “WP Maintenance Mode & Site Under Construction” para WordPress anteriores à 1.8.2

Descrição:

A vulnerabilidade permite que usuários com privilégios limitados instalem qualquer plugin, incluindo versões específicas, a partir do repositório do WordPress e ativem plugins arbitrários no blog. Isso pode ser feito utilizando a ação AJAX cp plugins do button job later callback. A exploração dessa vulnerabilidade pode levar à instalação de plugins vulneráveis, resultando potencialmente em vulnerabilidades mais graves, como a execução remota de código (RCE).

Recomendações:

Para as versões do plugin WP Maintenance Mode & Site Under Construction anteriores à 1.8.2, atualize para a versão 1.8.2 ou posterior para resolver o problema.

Como solução temporária, considere restringir o acesso à ação AJAX cp plugins do button job later callback até que um patch seja aplicado.