CVE-2024-10470

Sistema de Gestão de Aprendizagem WPLMS para WordPress, versões anteriores à 4.963

O Sistema de Gestão de Aprendizagem WPLMS para WordPress está vulnerável à leitura e exclusão arbitrária de arquivos devido à validação insuficiente do caminho dos arquivos e às verificações de permissões nas funções readfile e unlink. Isso permite que invasores não autenticados excluam arquivos arbitrários no servidor, o que pode facilmente levar à execução remota de código quando o arquivo certo é excluído, como o wp-config.php. O tema está vulnerável mesmo quando não está ativado. Mais de 28.000 sites estão potencialmente expostos a essa vulnerabilidade.

Atualize para a versão 4.963 para evitar o sequestro total do site, perda de dados e tempo de inatividade. Como solução temporária, considere restringir o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração. Certifique-se de que seu sistema esteja atualizado para a versão mais recente para se proteger contra possíveis explorações.