CVE-2025-0366

Nome do Software Vulnerável e Versões Afetadas Plugin Jupiter X Core para WordPress, versões até e incluindo a 4.8.7

Descrição O problema permite que atacantes autenticados, com acesso de nível de Contribuidor ou superior, incluam e executem arquivos arbitrários no servidor, permitindo a execução de qualquer código PHP nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados sensíveis ou conseguir execução de código. Um atacante pode criar um formulário que permite uploads de SVG, carregar um arquivo SVG com conteúdo malicioso e, em seguida, incluir o arquivo SVG em uma postagem para conseguir execução remota de código. Aproximadamente 90.000 sites estão em risco devido a esta vulnerabilidade. A função get svg() é especificamente vulnerável a Inclusão de Arquivo Local para Execução Remota de Código.

Recomendações Para o plugin Jupiter X Core para WordPress, versões até e incluindo a 4.8.7, atualize para uma versão que contenha uma correção para este problema para prevenir execução remota de código. Como solução temporária, considere desabilitar a função get svg() até que um patch esteja disponível. Restrinja o acesso ao recurso de upload de SVG do plugin para minimizar o risco de exploração. Evite usar o recurso de upload de SVG do plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.