CVE-2024-13361

Nome do Software Vulnerável e Versões Afetadas AI Power: Complete AI Pack plugin para WordPress versões até, e incluindo, 1.8.96

Descrição O problema está relacionado a uma verificação de capability ausente na função wpaicg save image media. Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior façam upload de arquivos de imagem e incorporem atributos de shortcode no valor de image alt. Os atributos incorporados serão executados ao enviar uma requisição POST para a página de anexo.

Recomendações Para versões até, e incluindo, 1.8.96, atualize para uma versão superior a 1.8.96 para resolver o problema. Como solução temporária, considere desabilitar a função wpaicg save image media até que um patch esteja disponível. Restrinja o acesso à página de anexo para minimizar o risco de exploração. Evite utilizar o valor image alt no endpoint da API afetado até que o problema seja resolvido.