CVE-2024-12040

ALT (8,8)

CVSS3: 0,0

El complement Product Carousel Slider & Grid Ultimate per a WooCommerce per a WordPress és vulnerable a la inclusió de fitxers locals en totes les versions fins a la 1.9.10 inclosa mitjançant l’atribut «tema» del codi curt «wcpcsu». Això fa possible que els atacants autenticats, amb accés a nivell de col·laborador i superior, incloguin i executin fitxers arbitraris al servidor, cosa que permet l’execució de qualsevol codi PHP en aquests fitxers. Això es pot utilitzar per evitar els controls d’accés, obtenir dades delicades o aconseguir l’execució de codi en els casos en què es poden carregar i incloure imatges i altres tipus de fitxers «segurs».

Sistemes Afectats

• wpwax Product Carousel Slider & Grid Ultimate for WooCommerce

Remediació
No hi ha cap recurs disponible a partir del 12 de desembre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/1c22de8c-e6e1-4b85-8d9f-619e9f63129e?source=cve
• https://plugins.trac.wordpress.org/changeset/3203986/woo-product-carousel-slider-and-grid-ultimate/tags/1.10.0/includes/classes/class-shortcode.php