PT-2024-16571 · WordPress · Code Embed
B0Lli
+1
·
Publicado
2024-11-08
·
Atualizado
2024-11-13
·
CVE-2024-10814
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Code Embed para versões do WordPress até a 2.5
Descrição
O plugin Code Embed para o WordPress está vulnerável a falsificação de solicitação do lado do servidor (Server-Side Request Forgery) por meio da função
ce get file(). Isso permite que invasores autenticados, com acesso de nível de colaborador ou superior, realizem solicitações web para locais arbitrários originadas da aplicação web, podendo ser usado para consultar e modificar informações de serviços internos.Recomendações
Para o plugin Code Embed para versões do WordPress até 2.5, atualize para a versão mais recente para mitigar o risco de falsificação de solicitação do lado do servidor. Como solução temporária, considere restringir o acesso à função
ce get file() até que um patch esteja disponível.Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Code Embed