PT-2024-37799 · WordPress · Ctt Expresso Para Woocommerce
Ricardo Silva
+1
·
Publicado
2024-08-01
·
Atualizado
2024-11-23
·
CVE-2024-6687
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin CTT Expresso para WooCommerce para versões do WordPress até a 3.2.12, inclusive
Descrição
O problema diz respeito à exposição de informações confidenciais no plugin CTT Expresso para WooCommerce para WordPress. Essa exposição ocorre através do diretório /wp-content/uploads/cepw, onde arquivos .pdf e de log gerados ficam acessíveis ao público. Esses arquivos contêm informações confidenciais, como nomes de remetentes e destinatários, números de telefone, endereços físicos e endereços de e-mail.
Recomendações
Para versões até e incluindo a 3.2.12, considere restringir o acesso ao diretório /wp-content/uploads/cepw para impedir o acesso público a arquivos .pdf e de log confidenciais até que uma correção esteja disponível. Como solução temporária, evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ctt Expresso Para Woocommerce