PT-2024-16699 · WordPress · Fileorganizer
Siunam
+1
·
Publicado
2024-12-07
·
Atualizado
2024-12-12
·
CVE-2024-11010
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
FileOrganizer – Plugin para gerenciar arquivos do WordPress e de sites, para versões do WordPress até a 1.1.4, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de administrador ou superior incluam e executem arquivos arbitrários no servidor por meio do parâmetro
default lang. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.Recomendações
Para versões até e incluindo a 1.1.4, atualize para uma versão superior à 1.1.4 para resolver o problema.
Como solução temporária, considere restringir o acesso ao parâmetro
default lang para minimizar o risco de exploração.Evite usar o parâmetro
default lang no plugin afetado até que o problema seja resolvido.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fileorganizer