CVE-2021-47940

Nome do Software Vulnerável e Versões Afetadas Download From Files versões anteriores a 1.49

Descrição Uma falha de upload arbitrário de arquivos permite que atacantes não autenticados façam o upload de arquivos maliciosos explorando a ação de upload de arquivo AJAX. Atacantes podem enviar requisições POST para o endpoint 'admin-ajax.php' utilizando a ação download from files 617 fileupload. Ao manipular o parâmetro allowExt, é possível burlar as restrições de tipo de arquivo e carregar arquivos executáveis, como shells PHP, na raiz do servidor web.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.