CVE-2024-5456

Plugin Panda Video para WordPress, versões até a 1.4.0, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de nível Contribuidor ou superior incluam e executem arquivos arbitrários no servidor por meio do parâmetro selected button. Isso pode levar à contornagem de controles de acesso, à obtenção de dados confidenciais ou à execução de código, especialmente em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.

Para o plugin Panda Video para WordPress nas versões até a 1.4.0, inclusive, considere desativar o plugin até que uma correção esteja disponível para impedir a exploração por meio do parâmetro selected button. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de inclusão e execução de arquivos arbitrários. Evite usar o parâmetro selected button em configurações afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.