CVE-2023-6925

Plugin Unlimited Addons for WPBakery Page Builder para versões do WordPress até a 1.0.42, inclusive

O problema está relacionado ao upload arbitrário de arquivos devido à validação insuficiente do tipo de arquivo na função importZipFile. Isso permite que invasores autenticados com uma função que tenha acesso concedido ao plugin, como a função de editor ou colaborador, façam upload de arquivos arbitrários no servidor do site afetado, possibilitando potencialmente a execução remota de código.

Para versões até e incluindo a 1.0.42, atualize para uma versão superior à 1.0.42 para resolver o problema.

Como solução temporária, considere restringir o acesso à função importZipFile até que um patch esteja disponível.

Restrinja o acesso ao plugin para funções que não o exijam, como a de colaborador, para minimizar o risco de exploração.