CVE-2021-24284

Kaswara Modern VC Addons até a versão 3.0.1

O problema está relacionado ao upload ilimitado de arquivos de tipos perigosos. A exploração pode permitir que um invasor remoto faça upload e execute arquivos arbitrários. A vulnerabilidade permite o upload de arquivos arbitrários não autenticados por meio da ação AJAX ‘uploadFontIcon’, com o arquivo zip fornecido sendo descompactado no diretório wp-content/uploads/kaswara/fonts icon sem verificações para arquivos maliciosos, como PHP. Estima-se que mais de 8.000 sites ainda estejam usando o plugin, e houve um aumento significativo nos ataques, com uma média de 440.000 tentativas por dia provenientes de 10.215 endereços IP atacantes. Os ataques envolvem o envio de uma solicitação POST para /wp-admin/admin-ajax.php usando o AJAX uploadFontIcon para fazer o upload de um arquivo para o site vulnerável. Em alguns casos, foi utilizado um trojan chamado NDSW, que permitia a injeção de código em arquivos JavaScript legítimos e podia ser usado para redirecionar usuários para domínios maliciosos.

Para versões até a 3.0.1, desinstale o plugin Kaswara Modern VC Addons imediatamente para evitar a exploração. Como solução temporária, considere restringir o acesso à ação AJAX ‘uploadFontIcon’ até que o problema seja resolvido. Evite usar a ação uploadFontIcon no endpoint da API afetado até que o problema seja resolvido.