CVE-2024-9193 in WHMpress Plugin
Resumen
por VulDB • 2026-06-29
El plugin WHMpress - WHMCS WordPress Integration Plugin para WordPress es vulnerable a Local File Inclusion en todas las versiones hasta la 6.3-revision-0, incluida esta, a través de la función whmpress_domain_search_ajax_extended_results(). Esto permite que atacantes no autenticados incluyan y ejecuten archivos arbitrarios en el servidor, lo que posibilita la ejecución de cualquier código PHP contenido en dichos archivos. Esta vulnerabilidad puede utilizarse para eludir los controles de acceso, obtener datos sensibles o lograr la ejecución de código en casos donde se puedan cargar e incluir imágenes u otros tipos de archivo considerados “seguros”. Esto hace posible que atacantes no autenticados actualicen opciones arbitrarias del sitio WordPress. Mediante el uso del archivo /admin/services.php, esta vulnerabilidad puede aprovecharse para actualizar el rol predeterminado de registro a administrador y habilitar el registro de usuarios, permitiendo así a los atacantes obtener acceso administrativo al sitio vulnerable.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.