PT-2025-6598 · WordPress · Uncode
Michael Mazzolini
+1
·
Publicado
2025-02-18
·
Atualizado
2025-03-04
·
CVE-2024-13691
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Tema Uncode para WordPress, versões até e incluindo a 2.9.1.6
Descrição
O problema está relacionado à validação de entrada insuficiente na função
uncode recordMedia, permitindo que invasores autenticados com acesso de nível de Assinante ou superior leiam arquivos arbitrários no servidor. Isso lhes permite acessar informações sensíveis.Recomendações
Para versões até e incluindo a 2.9.1.6, considere desativar a função
uncode recordMedia como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a arquivos sensíveis no servidor para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Uncode