CVE-2024-13714

Nome do Software Vulnerável e Versões Afetadas All-Images.ai – Plugin de Banco de Imagens de IA e Criação de Imagens Personalizadas para WordPress, versões até e incluindo a 1.0.4

Descrição O problema está relacionado ao upload arbitrário de arquivos devido à falta de validação de tipo de arquivo na função get image by url. Isso permite que atacantes autenticados com acesso de nível de Assinante (Subscriber) ou superior façam upload de arquivos arbitrários no servidor do site afetado, potencialmente possibilitando a execução remota de código.

Recomendações Para versões até e incluindo a 1.0.4, atualize para uma versão que inclua uma correção para a falta de validação de tipo de arquivo na função get image by url. Como solução temporária, considere desabilitar a função get image by url até que um patch esteja disponível.