CVE-2024-3808

O plugin “The Porto Theme - Functionality” para versões do WordPress até a 3.1.0, inclusive

A vulnerabilidade permite que invasores autenticados com permissões de nível de colaborador ou superiores incluam e executem arquivos arbitrários no servidor por meio do atributo ‘portfolio layout’ do shortcode ‘porto portfolios’. Isso pode levar à contornagem de controles de acesso, à obtenção de dados confidenciais ou à execução de código em casos em que tipos de arquivos PHP possam ser carregados e incluídos.

Para versões até e incluindo a 3.1.0, atualize para uma versão posterior à 3.1.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao shortcode ‘porto portfolios’ e limitar a capacidade de enviar arquivos PHP para minimizar o risco de exploração.