CVE-2024-8704

Nome do software vulnerável e versões afetadas:

Plugin Advanced File Manager para versões do WordPress até a 5.2.8, inclusive

Descrição:

O plugin Advanced File Manager para WordPress está vulnerável à inclusão de arquivos JavaScript locais por meio do parâmetro fma locale. Isso permite que invasores autenticados com acesso de nível de administrador ou superior incluam e executem arquivos arbitrários no servidor, possibilitando a execução de qualquer código PHP contido nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.

Recomendações:

Para versões até a 5.2.8, inclusive, atualize para uma versão que corrija esse problema.

Como solução temporária, considere restringir o acesso ao parâmetro fma locale para minimizar o risco de exploração.

Restrinja os uploads de arquivos apenas aos tipos necessários e garanta a validação e sanitização adequadas dos arquivos enviados.

Limite o acesso de nível de administrador apenas a usuários confiáveis para reduzir a superfície de ataque.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.