PT-2024-38419 · WordPress · File Manager Pro
Siunam
+1
·
Publicado
2024-08-22
·
Atualizado
2024-08-27
·
CVE-2024-7559
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin File Manager Pro para o WordPress, versões até a 8.3.7, inclusive
Descrição
O plugin File Manager Pro para WordPress está vulnerável a uploads arbitrários de arquivos devido à falta de validação de tipo de arquivo e verificações de permissão na ação AJAX
mk file folder manager. Isso permite que invasores autenticados, com acesso de nível de Assinante ou superior, façam upload de arquivos arbitrários no servidor do site afetado, o que pode possibilitar a execução remota de código.Recomendações
Para versões até a 8.3.7, inclusive, atualize para a versão 8.3.8 para mitigar os riscos. Como solução temporária, considere restringir o acesso à ação AJAX
mk file folder manager até que o problema seja resolvido. Evite usar o plugin File Manager Pro até que a atualização seja aplicada.Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
File Manager Pro