PT-2024-25704 · WordPress · Wp Staging
Haidv35
·
Publicado
2024-05-29
·
Atualizado
2026-05-10
·
CVE-2024-3412
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
WP STAGING WordPress Backup Plugin – Plugin de migração, backup e restauração para versões do WordPress até a 3.4.3, inclusive
Descrição
O problema está relacionado ao upload arbitrário de arquivos devido à falta de validação do tipo de arquivo na ação AJAX
wpstg processing. Isso permite que invasores autenticados com acesso de nível de administrador ou superior façam upload de arquivos arbitrários no servidor do site afetado, possibilitando potencialmente a execução remota de código.Recomendações
Para versões até a 3.4.3, inclusive, atualize para uma versão que inclua a validação de tipo de arquivo necessária para impedir uploads arbitrários de arquivos.
Como solução temporária, considere restringir o acesso à ação AJAX
wpstg processing para minimizar o risco de exploração.Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Staging