CVE-2024-5441

Nome do software vulnerável e versões afetadas:

Plugin Modern Events Calendar para o WordPress, versões até a 7.11.0, inclusive

Descrição:

O plugin Modern Events Calendar para o WordPress está vulnerável a uploads arbitrários de arquivos devido à falta de validação do tipo de arquivo na função set featured image. Isso permite que invasores autenticados com acesso de assinante ou superior enviem arquivos arbitrários para o servidor do site afetado, o que pode possibilitar a execução remota de código. O plugin também permite que administradores estendam a capacidade de enviar eventos a usuários não autenticados, o que possibilitaria que invasores não autenticados explorassem essa vulnerabilidade. Estima-se que mais de 150.000 sites estejam em risco, e hackers estão explorando ativamente essa falha.

Recomendações:

Para o plugin Modern Events Calendar para versões do WordPress até e incluindo a 7.11.0:

Atualize para a versão 7.12.0 o mais rápido possível para corrigir a vulnerabilidade.

Como solução temporária, considere desativar a função set featured image até que uma correção esteja disponível.

Restrinja o acesso ao recurso de envio de eventos do plugin para minimizar o risco de exploração.

Evite usar o plugin até que o problema seja resolvido.