CVE-2024-4551

Nome do software vulnerável e versões afetadas:

The Video Gallery – YouTube Playlist, Channel Gallery, plugin do YotuWP para versões do WordPress até a 1.3.13, inclusive

Descrição:

A vulnerabilidade permite que invasores autenticados com acesso de colaborador ou superior incluam e executem arquivos PHP arbitrários no servidor por meio da função display. Isso possibilita a execução de qualquer código PHP nesses arquivos, potencialmente contornando controles de acesso, obtendo dados confidenciais ou realizando a execução de código, especialmente em cenários em que imagens e outros tipos de arquivos “seguros” podem ser enviados e incluídos.

Recomendações:

Para versões até e incluindo a 1.3.13, atualize para uma versão superior à 1.3.13 para resolver o problema. Como solução temporária, considere restringir o acesso à função display para minimizar o risco de exploração. Além disso, restrinja a capacidade de enviar e incluir arquivos PHP para impedir a execução de código.