PT-2024-39435 · WordPress · Wechat Social Login Plugin
István Márton
·
Publicado
2024-10-01
·
Atualizado
2024-10-05
·
CVE-2024-9108
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin WeChat Social Login para o WordPress, versões até a 1.3.0, inclusive
Descrição
O plugin Wechat Social Login para WordPress está vulnerável a uploads arbitrários de arquivos devido à validação insuficiente do tipo de arquivo na função
convert remoteimage to local. Isso permite que invasores não autenticados façam upload de arquivos arbitrários no servidor do site afetado, o que pode possibilitar a execução remota de código.Recomendações
Para o plugin Wechat Social Login para WordPress nas versões até a 1.3.0, inclusive, considere desativar a função
convert remoteimage to local até que um patch esteja disponível para impedir uploads arbitrários de arquivos.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wechat Social Login Plugin