PT-2024-26520 · WordPress · Penci Soledad Data Migrator
Mohamed Awad
·
Publicado
2024-05-16
·
Atualizado
2024-05-17
·
CVE-2024-3551
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Penci Soledad Data Migrator para o WordPress, versões até a 1.3.0, inclusive
Descrição
O plugin Penci Soledad Data Migrator para WordPress está vulnerável à inclusão de arquivos locais (Local File Inclusion) por meio do parâmetro
data. Isso permite que invasores não autenticados incluam e executem arquivos PHP arbitrários no servidor, possibilitando que eles contornem controles de acesso, obtenham dados confidenciais ou executem código. Essa vulnerabilidade é limitada a arquivos PHP e pode ser explorada em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.Recomendações
Para o plugin Penci Soledad Data Migrator para WordPress nas versões até e incluindo a 1.3.0: atualize para uma versão superior à 1.3.0 para resolver o problema.
Como solução temporária, considere restringir o acesso ao parâmetro
data para minimizar o risco de exploração.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Penci Soledad Data Migrator