CVE-2024-10960

Nome do Software Vulnerável e Versões Afetadas Brizy – Plugin Page Builder para WordPress versões até e incluindo a 2.6.4

Descrição O problema está relacionado à falta de validação de tipo de arquivo na função storeUploads, o que permite que atacantes autenticados com acesso de nível de Contribuidor ou superior façam upload de arquivos arbitrários no servidor do site afetado. Isso pode possibilitar a execução remota de código. Aproximadamente 80.000 sites WordPress estão potencialmente em risco.

Recomendações Para versões até e incluindo a 2.6.4, atualize para uma versão superior à 2.6.4 para resolver o problema. Como solução alternativa temporária, considere desabilitar a função storeUploads até que um patch esteja disponível. Restrinja o acesso à funcionalidade de upload para minimizar o risco de exploração.