CVE-2024-13887

Nome do Software Vulnerável e Versões Afetadas: The Business Directory Plugin – Easy Listing Directories for WordPress versões anteriores à 6.4.15

Descrição: O problema está relacionado a Referência Direta a Objetos Inseguros. Afeta a função ajax listing submit image upload devido à falta de validação em uma chave controlada pelo usuário. Isso permite que atacantes não autenticados adicionem imagens arbitrárias às listagens.

Recomendações: Para versões anteriores à 6.4.15, atualize para a versão 6.4.15 ou posterior para resolver o problema. Como solução temporária, considere desativar a função ajax listing submit image upload até que um patch esteja disponível. Restrinja o acesso à funcionalidade de upload de imagens para minimizar o risco de exploração.