CVE-2024-6500

Plugin InPost para WooCommerce, versões 1.4.0 e anteriores

Plugin InPost PL para WordPress, versões 1.4.4 e anteriores

O problema está relacionado à falta de uma verificação de permissão na função parse request, permitindo o acesso não autorizado e a exclusão de dados. Isso permite que invasores não autenticados leiam e excluam arquivos arbitrários em servidores Windows; já em servidores Linux, apenas os arquivos dentro da instalação do WordPress serão excluídos, mas todos os arquivos podem ser lidos. Mais de 10.000 sites WordPress estão em risco devido a essa falha crítica de exclusão de arquivos.

Para as versões 1.4.0 e anteriores do plugin InPost for WooCommerce, atualize para a versão 1.4.5 ou posterior.

Para as versões 1.4.4 e anteriores do plugin InPost PL para WordPress, atualize para uma versão posterior à 1.4.4.

Como solução temporária, considere desativar a função parse request até que um patch esteja disponível.

Restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração.