CVE-2024-13545

Nome do Software Vulnerável e Versões Afetadas Tema Bootstrap Ultimate para WordPress, versões até e incluindo a 1.4.9

Descrição A vulnerabilidade permite que atacantes não autenticados incluam arquivos PHP no servidor através do parâmetro path, possibilitando a execução de qualquer código PHP contido nesses arquivos. Isso pode ser utilizado para contornar controles de acesso, obter dados sensíveis ou executar código, especialmente se arquivos PHP puderem ser carregados e incluídos. Se php://filter estiver habilitado no servidor, esta vulnerabilidade pode levar diretamente à Execução Remota de Código.

Recomendações Para versões até e incluindo a 1.4.9, considere desabilitar o parâmetro path para prevenir a exploração até que um patch esteja disponível. Restrinja o acesso a arquivos PHP sensíveis para minimizar o risco de execução de código. Evite utilizar o parâmetro path em endpoints de API até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.