CVE-2024-11642

Nome do Software Vulnerável e Versões Afetadas O plugin Post Grid Master para WordPress, versões até e incluindo a 3.4.12

Descrição A vulnerabilidade permite que atacantes não autenticados incluam e executem arquivos arbitrários no servidor, possibilitando a execução de qualquer código PHP nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados sensíveis ou lograr execução de código nos casos em que imagens e outros tipos de arquivos "seguros" podem ser enviados e incluídos. O arquivo incluído deve ter a extensão .php. A função locate template é vulnerável a Inclusão de Arquivo Local (Local File Inclusion).

Recomendações Para versões até e incluindo a 3.4.12, atualize para uma versão posterior à 3.4.12 para resolver o problema. Como solução temporária, considere restringir o acesso à função locate template até que uma correção esteja disponível. Evite usar a função locate template para incluir arquivos com a extensão .php no plugin afetado até que o problema seja resolvido.