O plugin está vulnerável a inclusão não autenticada de ficheiros, permitindo a um atacante executar código nos websites afetados.
A falha, representada pelo CVE-2024-1057, acontece devido à falta de validação do parâmetro "source", o que permite que o atacante possa injetar qualquer tipo de ficheiro e executar código PHP.
Versões afetadas
Anteriores e incluindo a 2.9.5
Solução
Manter os plugins e temas atualizados
Usar uma WAF
Implementar palavras-passe fortes e autenticação por dois fatores
fazer backup regularmente do website
Página oficial do plugin: https://wordpress.org/plugins/chart-builder/
Advisory oficial do wordpress: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/chart-builder/chartify-wordpress-chart-plugin-295-unauthenticated-local-file-inclusion-via-source
Comments