CVE-2022-4030

Plugin Simple:Press para o WordPress até a versão 6.8, inclusive

A vulnerabilidade permite que invasores com permissões mínimas, como um assinante, manipulem o parâmetro file durante a exclusão do avatar do usuário, possibilitando que forneçam caminhos para arquivos arbitrários no servidor que serão posteriormente excluídos. Isso pode ser usado para excluir o arquivo wp-config.php, permitindo que um invasor configure o site e execute código remotamente.

Para versões até a 6.8, inclusive, considere desativar o recurso de exclusão de avatares de usuários até que uma correção esteja disponível. Restrinja o acesso ao parâmetro file para minimizar o risco de exploração. Evite usar o parâmetro file no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.