CVE-2024-9669

Plugin File Manager Pro – Filester para o WordPress, versões até a 1.8.5, inclusive

O plugin File Manager Pro – Filester para WordPress está vulnerável à inclusão de arquivos JavaScript locais por meio do parâmetro fm locale. Isso permite que invasores autenticados com acesso de nível de administrador ou superior incluam e executem arquivos arbitrários no servidor, possibilitando a execução de qualquer código PHP contido nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.

Para versões até a 1.8.5, inclusive, considere desativar o parâmetro fm locale até que uma correção completa esteja disponível.

Como solução temporária, restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração.

Atualize para uma versão posterior à 1.8.5 assim que uma versão totalmente corrigida for lançada, pois a versão 1.8.5 resolve o problema apenas parcialmente.