CVE-2024-12066

Plugin SMSA Shipping para o WordPress, versões até a 2.2, inclusive

O plugin SMSA Shipping para o WordPress apresenta uma falha na função smsa delete label() devido à validação insuficiente do caminho do arquivo. Essa vulnerabilidade permite que invasores autenticados, com acesso de nível de Assinante ou superior, excluam arquivos arbitrários no servidor. Tais ações podem levar à execução remota de código quando arquivos críticos, como wp-config.php, são excluídos.

Para versões até a 2.2, inclusive, considere desativar a função smsa delete label() até que um patch esteja disponível para impedir a exclusão arbitrária de arquivos.

Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração, especialmente para usuários com acesso de nível de Assinante ou superior.

Evite usar o plugin até que seja lançada uma versão atualizada que corrija a falha de validação insuficiente do caminho do arquivo.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.