CVE-2024-11219

Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE <= 3.0.6 - Unauthetnicated Path Traversal to Arbitrary Image View

CVSS 5.3 MEDIUMEPSS 0.5%CWE-22

Em resumo

Um invasor consegue ver qualquer imagem armazenada no servidor WordPress sem fazer login, aproveitando uma falha no plugin Otter Blocks. Isso pode expor imagens sensíveis guardadas no servidor.

Detalhe técnico

A função get_image do plugin é vulnerável a travessia de diretórios (CWE-22), permitindo que atacantes não autenticados contornem restrições de pasta e acessem arquivos de imagem arbitrários. A vulnerabilidade requer apenas requisições HTTP e pode divulgar dados de imagens sensíveis.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE plugin for WordPress is vulnerable to Path Traversal in all versions up to, and including, 3.0.6 via the get_image function. This makes it possible for unauthenticated attackers to view arbitrary images on the server, which can contain sensitive information.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Produtos afetados

themeisle · Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://plugins.trac.wordpress.org/browser/otter-blocks/tags/3.0.6/inc/plugins/class-dynamic-content.php#L222 https://www.wordfence.com/threat-intel/vulnerabilities/id/c5e9ab63-d61e-40f1-a5cb-432f33dfd2a6?source=cve