CVE-2024-12859

Nome do Software Vulnerável e Versões Afetadas Plugin BoomBox Theme Extensions para WordPress versões até a 1.8.0 (inclusive)

Descrição A falha permite que atacantes autenticados com permissões de nível de contribuidor ou superior incluam e executem arquivos arbitrários no servidor por meio do atributo type do shortcode boombox listing. Isso possibilita a execução de qualquer código PHP nesses arquivos, o que pode ser utilizado para contornar controles de acesso, obter dados sensíveis ou realizar execução de código nos casos em que tipos de arquivos PHP puderem ser carregados e incluídos.

Recomendações Para versões até a 1.8.0 (inclusive), considere desativar o shortcode boombox listing até que uma correção esteja disponível, a fim de prevenir a inclusão e execução de arquivos arbitrários. Restrinja o acesso ao atributo type do shortcode boombox listing para minimizar o risco de exploração. Evite utilizar o atributo type no shortcode boombox listing até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.