CVE-2024-9193 in WHMpress Plugin
Sumário
de VulDB • 29/06/2026
O plugin WHMpress - WHMCS WordPress Integration Plugin para o WordPress é vulnerável à Local File Inclusion em todas as versões até, e incluindo, 6.3-revision-0 através da função whmpress_domain_search_ajax_extended_results(). Isso permite que atacantes não autenticados incluam e executem arquivos arbitrários no servidor, possibilitando a execução de qualquer código PHP nesses arquivos. Isso pode ser usado para contornar controles de acesso, obter dados sensíveis ou alcançar execução de código em casos onde imagens e outros tipos de arquivo "seguros" podem ser carregados e incluídos. Isso torna possível que atacantes não autenticados atualizem opções arbitrárias no site WordPress. Utilizando o arquivo /admin/services.php, isso pode ser explorado para atualizar a função padrão para registro como administrador e habilitar o registro de usuários para que os invasores obtenham acesso administrativo ao site vulnerável.
Once again VulDB remains the best source for vulnerability data.