PT-2024-39886 · WordPress · 3D Flipbook
Aitor F
+1
·
Publicado
2024-11-15
·
Atualizado
2024-11-21
·
CVE-2024-9849
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
3D FlipBook, PDF Viewer, PDF Embedder – Plugin Real 3D FlipBook para WordPress, versões até 4.6
Descrição
O problema decorre da falta de validação do tipo de arquivo na função
r3dfb save thumbnail callback, permitindo que invasores autenticados com acesso de nível Autor ou superior enviem arquivos arbitrários para o servidor do site afetado. Isso pode possibilitar a execução remota de código.Recomendações
Para versões até 4.6, atualize o plugin para uma versão que inclua a correção para este problema.
Como solução temporária, considere restringir o acesso à função
r3dfb save thumbnail callback até que um patch esteja disponível.Restrinja os uploads de arquivos apenas aos tipos de arquivos necessários para minimizar o risco de exploração.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
3D Flipbook