PT-2022-11347 · WordPress · Fancy Product Designer
Lin Yu
·
Publicado
2022-04-19
·
Atualizado
2022-04-27
·
CVE-2021-4096
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
O plugin Fancy Product Designer para versões do WordPress até a 4.7.5, inclusive
Descrição
A vulnerabilidade permite que invasores realizem Cross-Site Request Forgery (CSRF) por meio da classe FPD Admin Import, possibilitando o upload de arquivos maliciosos. Esses arquivos poderiam ser usados para obter acesso a um webshell no servidor.
Recomendações
Para versões até a 4.7.5, inclusive, atualize para uma versão superior à 4.7.5 para resolver o problema.
Correção
Unrestricted File Upload
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fancy Product Designer