CVE-2024-3807
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2024
Última modificación:
15/04/2026
Descripción
El tema Porto para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 7.1.0 incluida a través del metadato de publicación 'porto_page_header_shortcode_type', 'slideshow_type' y 'post_layout'. Esto hace posible que atacantes autenticados, con permisos de nivel de colaborador y superiores, incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en los casos en que se pueda cargar e incluir el tipo de archivo php. Esto fue parcheado parcialmente en la versión 7.1.0 y completamente parcheado en la versión 7.1.1.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://themeforest.net/item/porto-responsive-wordpress-ecommerce-theme/9207399
- https://www.wordfence.com/threat-intel/vulnerabilities/id/4bc3da9e-4b5f-4200-9df9-0ae953571377?source=cve
- https://themeforest.net/item/porto-responsive-wordpress-ecommerce-theme/9207399
- https://www.wordfence.com/threat-intel/vulnerabilities/id/4bc3da9e-4b5f-4200-9df9-0ae953571377?source=cve