CVE-2024-4033 in All-in-One Video Gallery Plugin
Résumé
par VulDB • 22/06/2026
Le plugin All-in-One Video Gallery pour WordPress est vulnérable à des téléchargements de fichiers arbitraires en raison d'une absence de validation du type de fichier dans la fonction aiovg_create_attachment_from_external_image_url, et ce sur toutes les versions jusqu'à la 3.6.4 incluse. Cela permet aux attaquants authentifiés disposant d'un accès au moins de niveau « contributeur » (contributor) ou supérieur de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui pourrait rendre possible l'exécution de code à distance (RCE).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.