CVE-2021-25094

Versões do plugin Tatsu para WordPress anteriores à 3.3.12

A vulnerabilidade está relacionada à ação add custom font no plugin Tatsu para WordPress, que pode ser utilizada sem autenticação prévia para fazer o upload de um arquivo ZIP malicioso. Esse arquivo é descompactado no diretório de uploads do WordPress. Ao adicionar um shell PHP com um nome de arquivo que começa com um ponto “.”, isso pode contornar o controle de extensão implementado no plugin. Além disso, há uma condição de corrida no processo de extração do zip, fazendo com que o arquivo shell permaneça tempo suficiente no sistema de arquivos para ser chamado por um invasor. A vulnerabilidade foi explorada em ataques reais, com mais de 5,9 milhões de tentativas bloqueadas entre 10 e 14 de maio. Estima-se que quase 100.000 sites estejam usando o plugin vulnerável e, apesar da disponibilidade de uma correção desde abril, cerca de 50.000 sites ainda utilizam a versão vulnerável.

Para versões do plugin Tatsu para WordPress anteriores à 3.3.12, atualize para a versão 3.3.13 ou posterior para resolver o problema. Como solução temporária, considere desativar a ação add custom font até que um patch esteja disponível. Restrinja o acesso ao diretório de upload para minimizar o risco de exploração. Evite usar a ação add custom font no plugin afetado até que o problema seja resolvido.