PT-2024-16449 · WordPress · Multiple Page Generator Plugin
Arkadiusz Hydzik
·
Publicado
2024-11-11
·
Atualizado
2024-11-14
·
CVE-2024-10672
CVSS v3.1
2.7
Baixa
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Multiple Page Generator – MPG para versões do WordPress até a 4.0.2, inclusive
Descrição
O plugin Multiple Page Generator – MPG para WordPress está vulnerável à exclusão arbitrária de arquivos devido à validação insuficiente do caminho do arquivo na função
mpg upsert project source block(). Isso permite que invasores autenticados, com acesso de nível de editor ou superior, excluam arquivos específicos no servidor.Recomendações
Para versões até a 4.0.2, inclusive, atualize para a versão mais recente para mitigar os riscos. Como solução temporária, considere restringir o acesso à função
mpg upsert project source block() até que um patch esteja disponível.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Multiple Page Generator Plugin