PT-2024-38462 · WordPress · Bit File Manager
Siunam
+1
·
Publicado
2024-09-04
·
Atualizado
2024-09-11
·
CVE-2024-7627
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Bit File Manager para o WordPress, versões 6.0 a 6.5.5
Descrição
O problema está relacionado à execução remota de código. Isso ocorre porque o plugin grava um arquivo temporário em um diretório acessível publicamente antes de realizar a validação do arquivo, especificamente por meio da função
checkSyntax. Isso permite que invasores não autenticados executem código no servidor caso um administrador tenha concedido permissões de leitura ao usuário convidado.Recomendações
Para as versões 6.0 a 6.5.5, considere desativar a função
checkSyntax como uma solução temporária até que um patch esteja disponível. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração, especialmente se as permissões de leitura para Usuários Convidados estiverem habilitadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.RCE
Code Injection
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bit File Manager