CVE-2024-5574

Plugin WP Magazine Modules Lite para versões do WordPress até a 1.1.2, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de nível Contributor ou superior incluam e executem arquivos arbitrários no servidor por meio do parâmetro blockLayout. Isso possibilita a execução de qualquer código PHP nesses arquivos, o que pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.

Para versões até e incluindo a 1.1.2, considere desativar o parâmetro blockLayout até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de inclusão e execução de arquivos arbitrários. Evite usar o parâmetro blockLayout no plugin afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.