PT-2025-1596 · WordPress · Infinitewp Client
Villu Orav
+1
·
Publicado
2025-01-08
·
Atualizado
2025-01-08
·
CVE-2024-10585
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin InfiniteWP Client para WordPress, versões até e incluindo a 1.13.0
Descrição
A falha permite que atacantes não autenticados leiam arquivos .txt fora do diretório pretendido através do parâmetro
historyID do arquivo ~/debug-chart/index.php. Isso possibilita aos atacantes acessar informações sensíveis.Recomendações
Para versões até e incluindo a 1.13.0, considere desabilitar o acesso ao arquivo ~/debug-chart/index.php ou restringir o uso do parâmetro
historyID até que um patch esteja disponível. Evite usar o parâmetro historyID no endpoint da API afetado até que a falha seja resolvida.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Infinitewp Client