CVE-2024-4354

TablePress – Plugin “Tables in WordPress made easy” para versões do WordPress anteriores à 2.3

A vulnerabilidade permite que invasores autenticados com acesso de nível de autor ou superior realizem solicitações web para locais arbitrários a partir do aplicativo web, o que pode ser usado para consultar e modificar informações de serviços internos. Isso é possível devido a uma vulnerabilidade de falsificação de solicitação do lado do servidor (Server-Side Request Forgery) na função get files to import(). A vulnerabilidade representa um risco mínimo para a maioria dos proprietários de sites e, idealmente, o núcleo do WordPress corrigiria essa falha na função wp safe remote get() e em outras funções.

Para versões anteriores à 2.3, restrinja o uso da funcionalidade de importação por URL apenas aos administradores como uma solução temporária até que um patch esteja disponível.