PT-2024-37569 · Wbw · The Product Table

Foxyyy

Publicado

2024-07-08

Atualizado

2024-07-10

CVE-2024-6365

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Plugin “The Product Table by WBW” para WordPress, versão 2.0.1 e anteriores

Descrição

A vulnerabilidade está relacionada à execução remota de código devido à falta de autorização e à ausência de sanitização de dados anexados no arquivo languages/customTitle.php. Isso permite que invasores não autenticados executem código no servidor por meio da função saveCustomTitle.

Recomendações

Para versões até e incluindo a 2.0.1, considere desativar a função saveCustomTitle até que um patch esteja disponível para impedir a exploração.

Restrinja o acesso ao arquivo languages/customTitle.php para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94

Identificadores relacionados

CVE-2024-6365

Produtos afetados

The Product Table

PT-2024-37569 · Wbw · The Product Table

CVE-2024-6365

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 11