CVE-2024-4442

O plugin do sistema de agendamento de salões de beleza para o WordPress, versão 9.8 e anteriores

O problema ocorre porque o plugin não valida adequadamente o caminho de um arquivo enviado antes de excluí-lo, permitindo que invasores não autenticados excluam arquivos arbitrários, incluindo o arquivo wp-config.php. Isso pode levar à tomada de controle do site e à execução remota de código.

Atualize para uma versão posterior à 9.8 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de exclusão de arquivos até que um patch esteja disponível. Evite usar os recursos de upload e exclusão de arquivos do plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.