CVE-2024-13725

Nome do Software Vulnerável e Versões Afetadas Plugin Keap Official Opt-in Forms para WordPress, versões até a 2.0.1 inclusive

Descrição O plugin Keap Official Opt-in Forms para WordPress está vulnerável a Inclusão de Arquivo Local em todas as versões até a 2.0.1 inclusive via parâmetro service. Isso possibilita que atacantes não autenticados incluam arquivos PHP no servidor, permitindo a execução de qualquer código PHP nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados sensíveis ou alcançar execução de código nos casos em que arquivos PHP podem ser enviados e incluídos. Se register argc argv estiver habilitado no servidor e pearcmd.php estiver instalado, este problema pode levar à Execução Remota de Código.

Recomendações Para versões até a 2.0.1 inclusive, atualize para uma versão superior a 2.0.1 para resolver o problema. Como solução temporária, considere desabilitar o parâmetro service até que uma correção esteja disponível. Restrinja o acesso ao arquivo pearcmd.php para minimizar o risco de exploração se register argc argv estiver habilitado no servidor.