PT-2024-27139 · WordPress · Web Directory Free Wordpress Plugin
Andrea De Dominicis
+2
·
Publicado
2024-08-29
·
Atualizado
2025-05-16
·
CVE-2024-3673
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões anteriores à 1.7.3 do plugin gratuito Web Directory para WordPress
Descrição
O problema está relacionado a uma vulnerabilidade de inclusão de arquivo local (LFI). Ele ocorre porque o plugin não valida um parâmetro antes de usá-lo em uma função
include(), o que pode levar a problemas de inclusão de arquivo local. Invasores não autenticados podem explorar essa vulnerabilidade para acessar arquivos confidenciais do servidor.Recomendações
Para versões anteriores à 1.7.3, atualize para a versão 1.7.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a arquivos confidenciais do servidor até que a atualização seja aplicada.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Web Directory Free Wordpress Plugin