CVE-2024-3564

Plugin Content Blocks (Custom Post Widget) para versões do WordPress até a 3.3.0, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de nível de colaborador ou superior incluam e executem arquivos arbitrários no servidor por meio do shortcode content block do plugin. Isso possibilita a execução de qualquer código PHP nesses arquivos, podendo contornar controles de acesso, obter dados confidenciais ou executar código, especialmente em casos em que imagens e outros tipos de arquivos “seguros” possam ser enviados e incluídos.

Para versões até a 3.3.0, inclusive, atualize para uma versão posterior à 3.3.0 para resolver o problema.

Como solução temporária, considere restringir o acesso ao shortcode content block até que um patch esteja disponível.

Restrinja os uploads de arquivos apenas aos tipos necessários e garanta a validação e sanitização adequadas dos arquivos enviados para minimizar o risco de exploração.