CVE-2021-24222

**Nome do software vulnerável e versões afetadas:

Plugin gratuito WP-Curriculo Vitae para WordPress, versões 6.3 e anteriores

Descrição:

A vulnerabilidade permite que usuários não autenticados enviem arquivos arbitrários, incluindo aqueles que podem levar à execução remota de código (RCE), devido à ausência de restrições de extensão de arquivo no formulário de envio de foto de perfil e currículo. Esse formulário é incorporado a uma página usando o shortcode [formCadastro].

Recomendações:

Para as versões 6.3 e anteriores do plugin WP-Curriculo Vitae Free para WordPress, considere desativar o recurso de upload de arquivos no formulário [formCadastro] até que uma correção esteja disponível. Restrinja o acesso ao formulário para minimizar o risco de exploração. Evite usar o recurso de upload de arquivos para fotos de perfil e currículos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.