CVE-2024-12854

Nome do Software Vulnerável e Versões Afetadas Plugin Garden Gnome Package para WordPress versões anteriores a 2.3.1

Descrição O plugin Garden Gnome Package para WordPress é vulnerável a uploads de arquivos arbitrários devido à falta de validação de tipo de arquivo na funcionalidade que extrai automaticamente arquivos ggpkg que foram enviados. Isso permite que atacantes autenticados, com acesso de nível de Autor ou superior, enviem arquivos arbitrários no servidor do site afetado, o que pode possibilitar a execução remota de código.

Recomendações Para versões até a 2.3.0 inclusive, atualize para uma versão superior a 2.3.0 para resolver o problema. Como solução alternativa temporária, considere desativar a funcionalidade que extrai automaticamente arquivos ggpkg até que uma correção esteja disponível. Restrinja o acesso à funcionalidade de upload de arquivos do plugin para minimizar o risco de exploração.