CVE-2024-31210

Versões do WordPress anteriores à 6.4.3

Versões do WordPress 6.3.3, 6.2.4, 6.1.5, 6.0.7, 5.9.9, 5.8.9, 5.7.11, 5.6.13, 5.5.14, 5.4.15, 5.3.17, 5.2.20, 5.1.18, 5.0.21, 4.9.25, 2.8.24, 4.7.28, 4.6.28, 4.5.31, 4.4.32, 4.3.33, 4.2.37 e 4.1.40

A vulnerabilidade permite que um usuário administrativo envie um arquivo de um tipo diferente de zip como um novo plugin, podendo levar à execução remota de código (RCE) se a constante DISALLOW FILE EDIT estiver definida como true e forem necessárias credenciais de FTP. Isso afeta usuários com nível de Administrador em instalações de site único e usuários com nível de Superadministrador em instalações Multisite. A vulnerabilidade não afeta usuários de nível inferior ou sites onde a constante DISALLOW FILE MODS esteja definida como true.

Atualize para a versão 6.4.3 ou posterior do WordPress.

Para as versões 6.3.3, 6.2.4, 6.1.5, 6.0.7, 5.9.9, 5.8.9, 5.7.11, 5.6.13, 5.5.14, 5.4.15, 5.3.17, 5.2.20, 5.1.18, 5.0.21, 4.9.25, 2.8.24, 4.7.28, 4.6.28, 4.5.31, 4.4.32, 4.3.33, 4.2.37 e 4.1.40, atualize para a respectiva versão retroportada.

Como solução alternativa temporária, considere definir a constante DISALLOW FILE MODS como true para impedir o upload de plugins.