CVE-2021-24248

Versões do plugin Business Directory anteriores à 5.11.1

O problema está relacionado ao upload irrestrito de arquivos de tipos perigosos no plugin Business Directory para WordPress. Isso poderia permitir que um invasor remoto lesse arquivos arbitrários no diretório de configuração. O problema decorre da verificação inadequada dos arquivos importados, utilizando uma abordagem de lista negra para proibir determinadas extensões, que pode ser contornada pela importação de um arquivo compactado contendo um arquivo malicioso, como um arquivo .php4, levando à execução remota de código.

Para versões anteriores à 5.11.1, atualize para a versão 5.11.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração. Evite usar o recurso de importação de arquivos do plugin até que o problema seja resolvido.