CVE-2024-5577

Plugin “Where I Was, Where I Will Be” para WordPress versão <= 1.1.1

A vulnerabilidade permite que invasores não autenticados incluam e executem arquivos arbitrários hospedados em servidores externos por meio do parâmetro WIW HEADER do arquivo “/system/include/include user.php”. Isso possibilita a execução de qualquer código PHP nesses arquivos, podendo contornar controles de acesso, obter dados confidenciais ou executar código. A exploração requer que allow url include esteja definido como true, o que geralmente não está habilitado.

Para versões <= 1.1.1, atualize para uma versão superior a 1.1.1 para resolver a vulnerabilidade. Como solução temporária, considere desativar o parâmetro WIW HEADER no arquivo “/system/include/include user.php” até que um patch esteja disponível. Além disso, certifique-se de que allow url include esteja definido como false para impedir a exploração.