CVE-2024-6309

Nome do software vulnerável e versões afetadas:

Plugin Attachment File Icons para versões do WordPress até a 1.3, inclusive

Descrição:

O problema se deve à falta de validação do nonce na função afi overview e à falta de validação do tipo de arquivo na função upload icons, o que permite que invasores não autenticados enviem arquivos arbitrários para o servidor do site afetado. Isso pode levar à execução remota de código por meio de uma solicitação falsificada, caso um invasor consiga induzir um administrador do site a realizar uma ação, como clicar em um link.

Recomendações:

Para o plugin Attachment File Icons para versões do WordPress até a 1.3, inclusive:

Como solução temporária, considere desativar as funções afi overview e upload icons até que um patch esteja disponível.

Restrinja o acesso à funcionalidade de upload do plugin para minimizar o risco de exploração.

Evite usar o plugin até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.