A falha representada pelo CVE-2024-1538 representa um enorme risco e os administradores de wordpress devem ter em conta o mais rápido possível a atualização do plugin.

O FileManager permite que os administradores do site gerenciem ficheiros e pastas diretamente na dashboard de wordpress

A falha está presente na validação insuficiente do plugin wp_file_manager na página quando processa o parâmetro "lang". Isto faz com que seja possível que o atacante inclua ficheiros javascript locais, dando azo à execução de código remota se o atacante conseguir com que o administrador clique no link malicioso.

De uma falha de cross site request forgery (CSRF), pode ser escalada para execução de código remota.

Versões afetadas

Até à 7.2.4

Versão corrigida

7.2.5

Para se proteger devidamente:

• Atualize imediatamente

• Faça auditoria aos plugins que usa no site

• Faça sessões de treino ou awareness à sua equipa relativamente aos riscos de clicarem em links externos, especialmente quando loggados como administradores

Atualização do plugin: https://wordpress.org/plugins/wp-file-manager/

Mais informações da vulnerabilidade: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1538