PT-2024-15760 · WordPress · The Ai Engine: Chatbots
Rootxsudip
+1
·
Publicado
2024-02-05
·
Atualizado
2024-02-13
·
CVE-2024-0699
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
O plugin “The AI Engine: Chatbots, Generators, Assistants, GPT 4 and more!” para versões do WordPress até a 2.1.4, inclusive
Descrição
O problema está relacionado ao upload arbitrário de arquivos devido à falta de validação do tipo de arquivo na função
add image from url. Isso permite que invasores autenticados com acesso de Editor ou superior façam upload de arquivos arbitrários no servidor do site afetado, possibilitando potencialmente a execução remota de código.Recomendações
Para versões até a 2.1.4, inclusive, atualize para uma versão que inclua uma correção para a falta de validação do tipo de arquivo na função
add image from url, a fim de impedir uploads arbitrários de arquivos.Como solução temporária, considere restringir o acesso à função
add image from url para usuários com acesso de Editor ou superior até que um patch esteja disponível.Correção
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Ai Engine: Chatbots