PT-2024-16966 · WordPress · The Grid View Gallery
Francesco Carlucci
·
Publicado
2024-11-20
·
Atualizado
2024-11-21
·
CVE-2024-11409
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
O plugin Grid View Gallery para versões do WordPress até a 1.0, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível Editor ou superior injetem um objeto PHP por meio da desserialização de entradas não confiáveis do parâmetro
cs all photos details. Isso pode levar à exclusão de arquivos arbitrários, à recuperação de dados confidenciais ou à execução de código caso exista uma cadeia POP, possivelmente introduzida por um plugin ou tema adicional.Recomendações
Para o plugin The Grid View Gallery para versões do WordPress até a 1.0, inclusive, considere desativar a deserialização de entradas do parâmetro
cs all photos details até que um patch esteja disponível. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Grid View Gallery