CVE-2024-13913

Nome do Software Vulnerável e Versões Afetadas: InstaWP Connect – Plugin de Staging e Migração WP com 1 clique para WordPress, versões até a 0.1.0.83 inclusive

Descrição: O problema ocorre devido à validação de nonce ausente ou incorreta no arquivo '/migrate/templates/main.php', possibilitando que atacantes não autenticados incluam e executem arquivos arbitrários no servidor. Isso permite a execução de qualquer código PHP nesses arquivos, o que pode ser utilizado para contornar controles de acesso, obter dados sensíveis ou alcançar execução de código nos casos em que imagens e outros tipos de arquivos "seguros" podem ser carregados e incluídos.

Recomendações: Para versões até a 0.1.0.83 inclusive, atualize para uma versão que inclua validação de nonce adequada para prevenir ataques de Falsificação de Solicitação Entre Sites (CSRF). Como solução temporária, considere restringir o acesso ao arquivo '/migrate/templates/main.php' para minimizar o risco de exploração.