PT-2024-15226 · WordPress · Everest Backup
Emad
·
Publicado
2024-04-14
·
Atualizado
2025-05-08
·
CVE-2023-7201
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin Everest Backup para WordPress anteriores à 2.2.5
Descrição
A falha permite que usuários com privilégios elevados, como administradores, enviem arquivos arbitrários para o servidor, mesmo quando não deveriam ter permissão para isso, por exemplo, em uma configuração multisite. Isso ocorre porque o plugin não valida adequadamente os arquivos de backup a serem enviados.
Recomendações
Para versões anteriores à 2.2.5, atualize para a versão 2.2.5 ou posterior para resolver o problema. Como solução temporária, considere restringir a funcionalidade de upload para usuários com privilégios elevados até que a atualização seja aplicada.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Everest Backup