CVE-2024-8856

Plugin “Backup and Staging by WP Time Capsule” para versões do WordPress até a 1.22.21, inclusive

A vulnerabilidade está relacionada ao upload arbitrário de arquivos devido à falta de validação do tipo de arquivo no arquivo UploadHandler.php e à ausência de prevenção contra acesso direto aos arquivos. Isso permite que invasores não autenticados enviem arquivos arbitrários para o servidor do site afetado, o que pode possibilitar a execução remota de código. O número estimado de dispositivos potencialmente afetados em todo o mundo é superior a 20.000 sites. A vulnerabilidade pode ser explorada para injetar backdoors ou malware e assumir o controle total dos sites afetados.

Para versões até a 1.22.21, inclusive, atualize o plugin para uma versão que inclua a correção para este problema. Como solução temporária, considere desativar o arquivo UploadHandler.php até que um patch esteja disponível. Restrinja o acesso ao arquivo UploadHandler.php para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido.