CVE-2024-11289

Tema Soledad para o WordPress, versões até a 8.5.9, inclusive

O tema Soledad para WordPress está vulnerável à inclusão de arquivos locais (Local File Inclusion) por meio de várias funções, como penci archive more post ajax func, penci more post ajax func e penci more featured post ajax func. Isso permite que invasores não autenticados incluam e executem arquivos PHP no servidor, possibilitando a execução de qualquer código PHP contido nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que arquivos PHP possam ser carregados e incluídos. A explorabilidade dessa vulnerabilidade é limitada ao Windows.

Para o tema Soledad para WordPress nas versões até e incluindo a 8.5.9, considere desativar as funções penci archive more post ajax func, penci more post ajax func e penci more featured post ajax func até que um patch esteja disponível.

Restrinja o acesso a arquivos PHP confidenciais para minimizar o risco de exploração.

Evite usar o tema Soledad para WordPress no Windows até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.