CVE-2024-6000

Nome do software vulnerável e versões afetadas:

Plugin FooEvents for WooCommerce para o WordPress, versões até e incluindo a 1.19.20

Plugin Popup Builder, versão 4.2.3 e anteriores

Descrição:

A vulnerabilidade permite que invasores autenticados com permissões de nível de colaborador ou superiores enviem arquivos arbitrários para o servidor do site afetado, o que pode possibilitar a execução remota de código. Isso se deve a uma configuração incorreta de permissão na função display ticket themes page.

Recomendações:

Para o plugin FooEvents for WooCommerce para versões do WordPress até a 1.19.20, inclusive, atualize para a versão 1.19.21 para corrigir totalmente o problema.

Para o plugin Popup Builder versão 4.2.3 e anteriores, remova ou atualize o plugin para uma versão posterior à 4.2.3.

Como solução temporária, considere desativar a função display ticket themes page até que uma correção esteja disponível.