A falha representada pelo CVE-2024-1538 representa um enorme risco e os administradores de wordpress devem ter em conta o mais rápido possível a atualização do plugin.
O FileManager permite que os administradores do site gerenciem ficheiros e pastas diretamente na dashboard de wordpress
A falha está presente na validação insuficiente do plugin wp_file_manager na página quando processa o parâmetro "lang". Isto faz com que seja possível que o atacante inclua ficheiros javascript locais, dando azo à execução de código remota se o atacante conseguir com que o administrador clique no link malicioso.
De uma falha de cross site request forgery (CSRF), pode ser escalada para execução de código remota.
Versões afetadas
Até à 7.2.4
Versão corrigida
7.2.5
Para se proteger devidamente:
Atualize imediatamente
Faça auditoria aos plugins que usa no site
Faça sessões de treino ou awareness à sua equipa relativamente aos riscos de clicarem em links externos, especialmente quando loggados como administradores
Atualização do plugin: https://wordpress.org/plugins/wp-file-manager/
Mais informações da vulnerabilidade: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1538
Comments