CVE-2024-7620

Plugin Customizer Export/Import para versões do WordPress até a 0.9.7, inclusive

O plugin Customizer Export/Import para WordPress está vulnerável a uploads arbitrários de arquivos devido à falta de validação do tipo de arquivo na função import. Isso permite que invasores autenticados, com acesso de nível de administrador ou superior, façam upload de arquivos arbitrários no servidor do site afetado, o que pode possibilitar a execução remota de código. A vulnerabilidade só pode ser explorada quando usada em conjunto com uma condição de corrida, já que o arquivo enviado é excluído logo após ser criado.

Para versões até a 0.9.7, inclusive, considere desativar a função import até que um patch esteja disponível para impedir uploads arbitrários de arquivos. Restrinja o acesso à funcionalidade de importação do plugin para minimizar o risco de exploração. Evite usar o plugin para importar arquivos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.