CVE-2024-5021

Nome do software vulnerável e versões afetadas:

Plugin WordPress Picture / Portfolio / Media Gallery para versões do WordPress até a 3.0.1, inclusive

Descrição:

O plugin WordPress Picture / Portfolio / Media Gallery para o WordPress está vulnerável a falsificação de solicitação do lado do servidor (Server-Side Request Forgery) por meio da função file get contents. Isso permite que invasores não autenticados façam solicitações da web para locais arbitrários originadas da aplicação web, potencialmente consultando e modificando informações de serviços internos.

Recomendações:

Para versões até e incluindo a 3.0.1, considere desativar a função file get contents como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a serviços internos para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.