CVE-2022-1206

The AdRotate Banner Manager – O único gerenciador de anúncios de que você precisa (plugin para o WordPress até a versão 5.13.2, inclusive)

A vulnerabilidade está relacionada ao upload arbitrário de arquivos devido à falta de sanitização de extensões de arquivo na função adrotate insert media(). Isso permite que invasores autenticados com acesso de nível de administrador ou superior façam upload de arquivos arbitrários com extensões duplas no servidor do site afetado, possibilitando potencialmente a execução remota de código. A explorabilidade dessa vulnerabilidade é limitada a instâncias específicas em que a configuração executará a primeira extensão presente.

Para versões até e incluindo a 5.13.2, considere desativar a função adrotate insert media() até que um patch esteja disponível para impedir uploads arbitrários de arquivos. Restrinja o acesso ao plugin afetado para minimizar o risco de exploração. Evite usar o plugin até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.