CVE-2024-8066

Nome do software vulnerável e versões afetadas:

File Manager Pro – plugin Filester para o WordPress, versões até a 1.8.6, inclusive

Descrição:

O problema está relacionado ao upload arbitrário de arquivos devido à falta de validação na função fsConnector. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior, e com permissões concedidas por um Administrador, façam o upload de um novo arquivo .htaccess, o que pode subsequentemente permitir que eles enviem arquivos arbitrários para o servidor do site afetado, possibilitando potencialmente a execução remota de código.

Recomendações:

Para versões até a 1.8.6, inclusive, atualize para uma versão superior à 1.8.6 para resolver o problema.

Como solução temporária, considere desativar a função fsConnector até que um patch esteja disponível.

Restrinja o acesso ao plugin File Manager Pro – Filester para minimizar o risco de exploração.