Threats
Plugin de calendário para o WordPress, que está a ser utilizado por 150 mil sites, está a ser explorado para carregar ficheiros arbitrários
11/07/2024
De acordo com a Wordfence, cibercriminosos estão a explorar uma vulnerabilidade no plugin Modern Events Calendar para o WordPress que está presente em mais de 150 mil sites. O plugin foi desenvolvido pela Webnus e é utilizado para organizar e gerir eventos híbridos, virtuais e físico. A vulnerabilidade (CVE-2024-5441) tem uma pontuação de criticidade de 8.8 e está a ser explorado em ataques. A vulnerabilidade deve-se a uma falta de validação de tipo de ficheiro na função ‘set_featured_image’ do plugin que é utilizado para carregar e definir imagens para os eventos. A vulnerabilidade permite o carregamento de ficheiros arbitrários e executar código remotamente. |