CVE-2024-9047

CRÍTIC (9,8)

CVSS3: 0,0

El connector de càrrega de fitxers de WordPress per a WordPress és vulnerable a un salt de director en totes les versions fins a la 4.24.11 inclosa a través de wfu_file_downloader.php. Això fa possible que els atacants no autenticats puguin llegir o eliminar fitxers fora del directori original. L’explotació correcta requereix que la instal·lació de WordPress dirigida faci servir PHP 7.4 o anterior.

Sistemes Afectats

• nickboss WordPress File Upload

Remediació
No hi ha cap recurs disponible a partir del 12 d’octubre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/554a314c-9e8e-4691-9792-d086790ef40f?source=cve
• https://plugins.trac.wordpress.org/changeset/3164449/wp-file-upload