CVE-2024-28850

Versões do WP Crontrol anteriores à 1.16.2

O problema está relacionado ao recurso do WP Crontrol que permite que usuários administrativos criem eventos no sistema WP-Cron, o qual pode armazenar e executar código PHP. Embora não haja nenhuma vulnerabilidade conhecida nesse recurso por si só, ele pode estar sujeito a execução remota de código (RCE) se for alvo de uma cadeia de vulnerabilidades que explore uma injeção de SQL (SQLi) separada ou vulnerabilidade semelhante. Isso pode ser explorado se o site for vulnerável a uma vulnerabilidade SQLi de gravação, tiver um banco de dados comprometido ou for vulnerável à atualização de opções arbitrárias na tabela wp options ou ao acionamento de ações, filtros ou funções arbitrárias com controle dos parâmetros.

Para versões do WP Crontrol anteriores à 1.16.2, atualize para a versão 1.16.2 ou posterior para evitar a adulteração do código armazenado em um evento cron do PHP. Quaisquer eventos cron PHP existentes deixarão de ser executados até que um usuário administrativo os salve novamente na tela Cron Events na área de administração. Como solução alternativa temporária, considere restringir o acesso ao sistema WP-Cron ou desativar a execução de eventos cron PHP até que a atualização seja aplicada.