CVE-2024-8746

The File Manager Pro plugin for WordPress is vulnerable to arbitrary backup file downloads and uploads due to missing file type validation via the 'mk_file_folder_manager_shortcode' ajax action in all versions up to, and including, 8.3.9. This makes it possible for unauthenticated attackers, if granted access to the File Manager by an administrator, to download and upload arbitrary backup files on the affected site's server which may make remote code execution possible.
Configurations

Configuration 1 (hide)

cpe:2.3:a:filemanagerpro:file_manager:*:*:*:*:pro:wordpress:*:*

History

17 Oct 2024, 18:22

Type Values Removed Values Added
References () https://filemanagerpro.io/ - () https://filemanagerpro.io/ - Product
References () https://www.wordfence.com/threat-intel/vulnerabilities/id/88f1eb9a-f3bb-4b62-975f-a6cb95850966?source=cve - () https://www.wordfence.com/threat-intel/vulnerabilities/id/88f1eb9a-f3bb-4b62-975f-a6cb95850966?source=cve - Third Party Advisory
CVSS v2 : unknown
v3 : 7.5
v2 : unknown
v3 : 8.8
CPE cpe:2.3:a:filemanagerpro:file_manager:*:*:*:*:pro:wordpress:*:*
First Time Filemanagerpro
Filemanagerpro file Manager

16 Oct 2024, 16:38

Type Values Removed Values Added
Summary
  • (es) El complemento File Manager Pro para WordPress es vulnerable a la descarga y carga arbitraria de archivos de respaldo debido a la falta de validación del tipo de archivo a través de la acción ajax 'mk_file_folder_manager_shortcode' en todas las versiones hasta la 8.3.9 incluida. Esto hace posible que atacantes no autenticados, si un administrador les otorga acceso al Administrador de archivos, descarguen y carguen archivos de respaldo arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.

16 Oct 2024, 07:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-16 07:15

Updated : 2024-10-17 18:22


NVD link : CVE-2024-8746

Mitre link : CVE-2024-8746

CVE.ORG link : CVE-2024-8746


JSON object : View

Products Affected

filemanagerpro

  • file_manager
CWE
CWE-434

Unrestricted Upload of File with Dangerous Type