PT-2024-26570 · WordPress · Custom Field Suite
Jack Taylor
·
Publicado
2024-06-20
·
Atualizado
2024-07-15
·
CVE-2024-3562
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Custom Field Suite para o WordPress, versões até a 2.6.7, inclusive
Descrição
O problema está relacionado à sanitização insuficiente dos dados de entrada antes de serem utilizados em uma chamada à função
eval(), o que permite que invasores autenticados, com acesso de nível de colaborador ou superior, executem código PHP arbitrário no servidor. Isso é feito por meio do campo personalizado Loop.Recomendações
Para versões até a 2.6.7, inclusive, atualize para uma versão que corrija o problema de injeção de código PHP para impedir que invasores autenticados executem código PHP arbitrário no servidor. Como solução temporária, considere restringir o acesso ao campo personalizado Loop para minimizar o risco de exploração.
Correção
Code Injection
Eval Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Custom Field Suite