CVE-2024-13869

Nome do Software Vulnerável e Versões Afetadas Migration, Backup, Staging – Plugin WPvivid Backup & Migration para WordPress versões até e incluindo a 0.9.112

Descrição O problema está relacionado ao upload de arquivos arbitrários devido à ausência de validação de tipo de arquivo na função upload files. Isso permite que atacantes autenticados com acesso de nível de Administrador ou superior façam upload de arquivos arbitrários no servidor do site afetado, potencialmente possibilitando a execução remota de código. Observe que os arquivos carregados só estão acessíveis em instâncias do WordPress executando no servidor web NGINX, pois o .htaccess existente na pasta de upload de arquivos alvo impede o acesso em servidores Apache.

Recomendações Para versões até e incluindo a 0.9.112, considere desativar a função upload files como uma solução alternativa temporária até que um patch esteja disponível. Restrinja o acesso à pasta de upload de arquivos para minimizar o risco de exploração. Evite usar a função upload files no plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.