CVE-2024-13355

Nome do Software Vulnerável e Versões Afetadas Admin and Customer Messages After Order for WooCommerce: plugin OrderConvo para WordPress, versões até e incluindo a 13.2

Descrição O problema está relacionado à validação insuficiente de tipo de arquivo na função upload file(), o que permite que atacantes autenticados com acesso de nível de Assinante ou superior façam upload de arquivos no servidor do site afetado. Isso pode tornar possível a execução remota de código e está confirmado que torna possível o Cross-Site Scripting.

Recomendações Para versões até e incluindo a 13.2, atualize para uma versão que inclua uma correção para a validação insuficiente de tipo de arquivo na função upload file(). Como medida temporária, considere desativar a função upload file() até que uma correção esteja disponível. Restrinja o acesso ao recurso de upload de arquivos para minimizar o risco de exploração.