CVE-2021-25052
Button Generator < 2.3.3 - RFI leading to RCE via CSRF
Em resumo
O plugin Button Generator para WordPress versão anterior à 2.3.3 possui uma falha que permite que atacantes enganem administradores para executar arquivos maliciosos da internet, podendo tomar controle do site.
Detalhe técnico
Vulnerabilidade de CSRF (CWE-352) combinada com inclusão de arquivo remoto no menu administrativo. Um atacante pode criar uma requisição maliciosa que, ao ser acessada por um administrador autenticado, faz o plugin incluir e executar arquivos PHP arbitrários via protocolos data://, http:// ou caminhos diretos. Requer interação do admin, mas resulta em execução de código remoto com privilégios WordPress.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Button Generator WordPress plugin before 2.3.3 within the wow-company admin menu page allows to include() arbitrary file with PHP extension (as well as with data:// or http:// protocols), thus leading to CSRF RCE.
Produtos afetados
Unknown · Button Generator – easily Button BuilderQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →