PT-2024-38982 · WordPress · Safe-Svg

Alexander Concha

Publicado

2024-11-07

Atualizado

2025-05-17

CVE-2024-8378

CVSS v3.1

4.8

Média

Vetor

AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

Nome do software vulnerável e versões afetadas:

Versões do plugin Safe SVG para WordPress anteriores à 2.2.6

Descrição:

O problema ocorre porque o código de sanitização do plugin Safe SVG para WordPress é executado apenas para caminhos que chamam wp handle upload, mas não para código que utiliza wp handle sideload, frequentemente usado para enviar anexos por meio de dados POST brutos. Isso pode levar a riscos potenciais de segurança, incluindo ataques de cross-site scripting (XSS).

Recomendações:

Para versões do plugin Safe SVG para WordPress anteriores à 2.2.6, atualize para a versão 2.2.6 ou posterior para mitigar os riscos associados a este problema. Como solução temporária, considere restringir o uso de wp handle sideload até que o plugin seja atualizado.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

CVE-2024-8378

Produtos afetados

Safe-Svg

PT-2024-38982 · WordPress · Safe-Svg

CVE-2024-8378

Identificadores relacionados

Produtos afetados

Referências · 8