PT-2024-16604 · WordPress · Category Ajax Filter
Le Ngoc Anh
+2
·
Publicado
2024-11-09
·
Atualizado
2024-11-14
·
CVE-2024-10871
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Category Ajax Filter para o WordPress, versões até a 2.8.2, inclusive
Descrição
O plugin Category Ajax Filter para WordPress está vulnerável à inclusão de arquivos locais (Local File Inclusion) por meio do parâmetro
params[caf-post-layout]. Isso permite que invasores não autenticados incluam e executem arquivos arbitrários no servidor, possibilitando a execução de qualquer código PHP contido nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que arquivos com extensão .php possam ser carregados e incluídos.Recomendações
Para versões até a 2.8.2, inclusive: atualize para a versão mais recente imediatamente para mitigar os riscos. Como solução temporária, considere restringir o acesso ao parâmetro
params[caf-post-layout] para minimizar o risco de exploração.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Category Ajax Filter