CVE-2024-6161

Nome do software vulnerável e versões afetadas:

Plugin Default Thumbnail Plus para versões do WordPress até a 1.0.2.3, inclusive

Descrição:

O problema está relacionado à falta de validação do tipo de arquivo na função get cache image, permitindo que invasores autenticados com permissões de nível de colaborador ou superiores enviem arquivos arbitrários para o servidor do site afetado. Isso pode possibilitar a execução remota de código.

Recomendações:

Para versões até e incluindo a 1.0.2.3, atualize para uma versão que inclua a correção da falta de validação do tipo de arquivo na função get cache image para impedir uploads arbitrários de arquivos. Como solução temporária, considere restringir o uso da função get cache image até que um patch esteja disponível. Além disso, restrinja o acesso ao plugin Default Thumbnail Plus para minimizar o risco de exploração.