CVE-2024-5853

Nome do software vulnerável e versões afetadas:

O plugin Image Optimizer, Resizer and CDN – Sirv para o WordPress, até a versão 7.2.6, inclusive

Descrição:

O problema está relacionado ao upload arbitrário de arquivos devido à falta de validação do tipo de arquivo na ação AJAX sirv upload file by chanks. Isso permite que invasores autenticados com acesso de nível Contribuidor ou superior façam upload de arquivos arbitrários no servidor do site afetado, possibilitando potencialmente a execução remota de código.

Recomendações:

Para versões até a 7.2.6, inclusive, atualize para uma versão superior à 7.2.6 para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX sirv upload file by chanks para minimizar o risco de exploração.