CVE-2024-9234

CRÍTIC (9,8)

CVSS3: 0,0

El complement GutenKit: blocs, patrons i plantilles del creador de pàgines per a l’editor de blocs de Gutenberg per a WordPress és vulnerable a càrregues de fitxers arbitràries a causa d’una comprovació de la capacitat que falta a la funció install_and_activate_plugin_from_external() (punt final de l’API REST d’install-active-plugin) en totes les versions posteriors a la 2.1.0 i aquesta mateixa inclosa. Això fa possible que els atacants no autenticats instal·lin i activin connectors arbitraris o utilitzin la funcionalitat per carregar fitxers arbitraris falsificats com un connector.

Sistemes Afectats

• ataurr GutenKit – Page Builder Blocks, Patterns, and Templates for Gutenberg Block Editor

Remediació
No hi ha cap recurs disponible a partir de l’11 d’octubre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/e44c5dc0-6bf6-417a-9383-b345ff57ac32?source=cve
• https://github.com/WordPressBugBounty/plugins-gutenkit-blocks-addon/blob/dc3738bb821cf1d93a11379b8695793fa5e1b9e6/gutenkit-blocks-addon/includes/Admin/Api/ActivePluginData.php#L76
• https://plugins.trac.wordpress.org/browser/gutenkit-blocks-addon/tags/2.1.0/includes/Admin/Api/ActivePluginData.php?rev=3159783#L76
• https://plugins.trac.wordpress.org/browser/gutenkit-blocks-addon/tags/2.1.1/includes/Admin/Api/ActivePluginData.php?rev=3164886