PT-2024-10744 · WordPress+1 · Aam Advanced Access Manager+1
Ov3Rfly
·
Publicado
2024-10-15
·
Atualizado
2024-10-30
·
CVE-2019-25213
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Advanced Access Manager para o WordPress, versões até a 5.9.8.1, inclusive
Wordfence (versões afetadas não especificadas)
Descrição
O plugin Advanced Access Manager para WordPress está vulnerável à leitura arbitrária de arquivos sem autenticação devido à validação insuficiente do parâmetro
aam-media. Isso permite que invasores não autenticados leiam qualquer arquivo no servidor, incluindo arquivos confidenciais como wp-config.php. Uma vulnerabilidade crítica no Wordfence afeta várias versões, mas a natureza exata dessa vulnerabilidade não está especificada nas informações fornecidas.Recomendações
Para o plugin Advanced Access Manager para WordPress nas versões até e incluindo a 5.9.8.1: atualize para uma versão posterior à 5.9.8.1 para resolver a vulnerabilidade de leitura arbitrária de arquivos sem autenticação.
Para o Wordfence: atualize para a versão mais recente e aplique todos os patches recomendados para garantir a segurança do site.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade no Wordfence.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aam Advanced Access Manager
Wordfence