PT-2024-35744 · WordPress · Responsive Owl Carousel
Matthew Rollings
+1
·
Publicado
2024-05-31
·
Atualizado
2024-06-03
·
CVE-2024-5345
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
O plugin Responsive Owl Carousel for Elementor para o WordPress, nas versões até a 1.2.0, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados, com acesso de nível Contribuidor ou superior, incluam e executem arquivos PHP arbitrários no servidor por meio do parâmetro
layout. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.Recomendações
Para versões até a 1.2.0, inclusive, considere desativar o parâmetro
layout até que uma correção esteja disponível para impedir a inclusão e execução de arquivos PHP arbitrários. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração. Evite usar o parâmetro layout no plugin afetado até que a vulnerabilidade seja resolvida.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Responsive Owl Carousel