CVE-2024-7626

O plugin WP Delicious – Recipe Plugin for Food Bloggers para versões do WordPress até a 1.6.9, inclusive

O problema está relacionado à validação insuficiente do caminho do arquivo na função save edit profile details(), permitindo que invasores autenticados com acesso de nível de assinante ou superior movam arquivos arbitrários no servidor. Isso pode levar à execução remota de código quando o arquivo correto é movido, como o wp-config.php, e também permite a leitura de arquivos arbitrários que possam conter informações confidenciais.

Para versões até a 1.6.9, inclusive, atualize para uma versão superior à 1.6.9 para impedir a movimentação e leitura arbitrárias de arquivos.

Como solução temporária, considere restringir o acesso à função save edit profile details() até que um patch esteja disponível.

Restrinja o acesso a arquivos confidenciais como wp-config.php para minimizar o risco de exploração.