PT-2022-13852 · WordPress · Videos Sync Pdf Wordpress Plugin

Splint3R7

Publicado

2022-04-25

Atualizado

2022-05-04

CVE-2022-1392

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Nome do software vulnerável e versões afetadas

Plugin Videos sync PDF para WordPress, versões 1.7.4 e anteriores

Descrição

O problema decorre do fato de o plugin não validar o parâmetro p antes de utilizá-lo em uma instrução include, o que pode levar a problemas de inclusão de arquivos locais.

Recomendações

Para as versões 1.7.4 e anteriores, como solução temporária, considere restringir o acesso ao parâmetro p no endpoint da API afetado até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

CVE-2022-1392

Produtos afetados

Videos Sync Pdf Wordpress Plugin

PT-2022-13852 · WordPress · Videos Sync Pdf Wordpress Plugin

CVE-2022-1392

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5