CVE-2023-6825

Versões do File Manager até a 7.2.1

Versões do File Manager Pro até a 8.3.4

Os plugins File Manager e File Manager Pro para WordPress estão vulneráveis a um ataque de traversal de diretório por meio do parâmetro target na função mk file folder manager action callback shortcode. Isso permite que invasores leiam o conteúdo de arquivos arbitrários no servidor, que podem conter informações confidenciais, e enviem arquivos para diretórios diferentes daquele destinado ao envio de arquivos. A versão gratuita requer acesso de administrador para que essa vulnerabilidade seja explorável, enquanto a versão Pro permite que um gerenciador de arquivos seja incorporado por meio de um shortcode e também permite que administradores concedam privilégios de manipulação de arquivos a outros níveis de usuário, o que pode levar à exploração por usuários de nível inferior. Mais de um milhão de sites WordPress estão potencialmente expostos a essa falha.

Para versões do File Manager até a 7.2.1, atualize para uma versão posterior à 7.2.1 para resolver o problema.

Para versões do File Manager Pro até a 8.3.4, atualize para uma versão posterior à 8.3.4 para resolver o problema.

Como solução temporária, considere restringir o acesso à função mk file folder manager action callback shortcode e limitar os privilégios de manipulação de arquivos apenas aos níveis de usuário necessários.