CVE-2024-9624

Plugin WP All Import Pro para versões do WordPress até a 4.9.3, inclusive

O problema está relacionado à falsificação de solicitação do lado do servidor (SSRF) devido à falta de proteção contra SSRF na função pmxi curl download. Isso permite que invasores autenticados com acesso de nível de administrador ou superior façam solicitações da web para locais arbitrários a partir do aplicativo web, potencialmente consultando e modificando informações de serviços internos. Em plataformas de nuvem, isso também pode permitir que invasores leiam metadados da instância.

Para versões até a 4.9.3, inclusive, considere desativar a função pmxi curl download até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de solicitações web não autorizadas. Atualize para uma versão superior à 4.9.3 quando disponível.