CVE-2024-4258

O plugin “The Video Gallery – YouTube Playlist, Channel Gallery by YotuWP” para o WordPress, nas versões até a 1.3.13, inclusive

A vulnerabilidade permite que invasores não autenticados incluam e executem arquivos arbitrários no servidor por meio do parâmetro settings, possibilitando a execução de qualquer código PHP contido nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que imagens e outros tipos de arquivos “seguros” possam ser enviados e incluídos.

Para versões até e incluindo a 1.3.13, atualize para uma versão posterior à 1.3.13 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao parâmetro settings para minimizar o risco de exploração.