Vulnerability Details CVE-2024-8480
The Image Optimizer, Resizer and CDN – Sirv plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'sirv_save_prevented_sizes' function in all versions up to, and including, 7.2.7. This makes it possible for authenticated attackers, with Contributor-level access and above, to exploit the 'sirv_upload_file_by_chunks_callback' function, which lacks proper file type validation, allowing attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.023
EPSS Ranking 84.0%
CVSS Severity
CVSS v3 Score 8.8
References
- https://plugins.trac.wordpress.org/browser/sirv/tags/7.2.7/sirv.php#L6331
- https://plugins.trac.wordpress.org/browser/sirv/trunk/sirv.php?rev=3103410#L4647
- https://plugins.trac.wordpress.org/changeset/3115018/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/1e3e628f-b5e7-40fd-9d34-4a3b23e1e0e7?source=cve
Products affected by CVE-2024-8480
-
cpe:2.3:a:sirv:sirv:-
-
cpe:2.3:a:sirv:sirv:1.0
-
cpe:2.3:a:sirv:sirv:1.1
-
cpe:2.3:a:sirv:sirv:1.2
-
cpe:2.3:a:sirv:sirv:1.3
-
cpe:2.3:a:sirv:sirv:1.3.1
-
cpe:2.3:a:sirv:sirv:1.3.2
-
cpe:2.3:a:sirv:sirv:1.3.3
-
cpe:2.3:a:sirv:sirv:1.3.4
-
cpe:2.3:a:sirv:sirv:1.3.5
-
cpe:2.3:a:sirv:sirv:1.3.6
-
cpe:2.3:a:sirv:sirv:1.3.7
-
cpe:2.3:a:sirv:sirv:1.3.8
-
cpe:2.3:a:sirv:sirv:1.4
-
cpe:2.3:a:sirv:sirv:1.4.1
-
cpe:2.3:a:sirv:sirv:1.4.10
-
cpe:2.3:a:sirv:sirv:1.4.11
-
cpe:2.3:a:sirv:sirv:1.4.12
-
cpe:2.3:a:sirv:sirv:1.4.13
-
cpe:2.3:a:sirv:sirv:1.4.14
-
cpe:2.3:a:sirv:sirv:1.4.15
-
cpe:2.3:a:sirv:sirv:1.4.16
-
cpe:2.3:a:sirv:sirv:1.4.17
-
cpe:2.3:a:sirv:sirv:1.4.18
-
cpe:2.3:a:sirv:sirv:1.4.19
-
cpe:2.3:a:sirv:sirv:1.4.2
-
cpe:2.3:a:sirv:sirv:1.4.20
-
cpe:2.3:a:sirv:sirv:1.4.21
-
cpe:2.3:a:sirv:sirv:1.4.22
-
cpe:2.3:a:sirv:sirv:1.4.23
-
cpe:2.3:a:sirv:sirv:1.4.24
-
cpe:2.3:a:sirv:sirv:1.4.25
-
cpe:2.3:a:sirv:sirv:1.4.26
-
cpe:2.3:a:sirv:sirv:1.4.27
-
cpe:2.3:a:sirv:sirv:1.4.28
-
cpe:2.3:a:sirv:sirv:1.4.3
-
cpe:2.3:a:sirv:sirv:1.4.4
-
cpe:2.3:a:sirv:sirv:1.4.6
-
cpe:2.3:a:sirv:sirv:1.4.7
-
cpe:2.3:a:sirv:sirv:1.4.8
-
cpe:2.3:a:sirv:sirv:1.4.9
-
cpe:2.3:a:sirv:sirv:2.0
-
cpe:2.3:a:sirv:sirv:2.0.1
-
cpe:2.3:a:sirv:sirv:2.0.10
-
cpe:2.3:a:sirv:sirv:2.0.11
-
cpe:2.3:a:sirv:sirv:2.0.12
-
cpe:2.3:a:sirv:sirv:2.0.13
-
cpe:2.3:a:sirv:sirv:2.0.14
-
cpe:2.3:a:sirv:sirv:2.0.15
-
cpe:2.3:a:sirv:sirv:2.0.16
-
cpe:2.3:a:sirv:sirv:2.0.17
-
cpe:2.3:a:sirv:sirv:2.0.18
-
cpe:2.3:a:sirv:sirv:2.0.19
-
cpe:2.3:a:sirv:sirv:2.0.2
-
cpe:2.3:a:sirv:sirv:2.0.20
-
cpe:2.3:a:sirv:sirv:2.0.21
-
cpe:2.3:a:sirv:sirv:2.0.3
-
cpe:2.3:a:sirv:sirv:2.0.4
-
cpe:2.3:a:sirv:sirv:2.0.5
-
cpe:2.3:a:sirv:sirv:2.0.6
-
cpe:2.3:a:sirv:sirv:2.0.7
-
cpe:2.3:a:sirv:sirv:2.0.8
-
cpe:2.3:a:sirv:sirv:2.0.9
-
cpe:2.3:a:sirv:sirv:2.1
-
cpe:2.3:a:sirv:sirv:2.2
-
cpe:2.3:a:sirv:sirv:2.2.1
-
cpe:2.3:a:sirv:sirv:2.2.2
-
cpe:2.3:a:sirv:sirv:2.2.3
-
cpe:2.3:a:sirv:sirv:3.0
-
cpe:2.3:a:sirv:sirv:3.1
-
cpe:2.3:a:sirv:sirv:3.2
-
cpe:2.3:a:sirv:sirv:3.2.1
-
cpe:2.3:a:sirv:sirv:3.2.2
-
cpe:2.3:a:sirv:sirv:3.2.3
-
cpe:2.3:a:sirv:sirv:3.2.4
-
cpe:2.3:a:sirv:sirv:3.2.5
-
cpe:2.3:a:sirv:sirv:3.5
-
cpe:2.3:a:sirv:sirv:3.5.1
-
cpe:2.3:a:sirv:sirv:3.5.2
-
cpe:2.3:a:sirv:sirv:3.5.3
-
cpe:2.3:a:sirv:sirv:3.5.4
-
cpe:2.3:a:sirv:sirv:3.6.0
-
cpe:2.3:a:sirv:sirv:3.6.1
-
cpe:2.3:a:sirv:sirv:3.7
-
cpe:2.3:a:sirv:sirv:3.7.1
-
cpe:2.3:a:sirv:sirv:3.7.2
-
cpe:2.3:a:sirv:sirv:3.7.3
-
cpe:2.3:a:sirv:sirv:3.7.4
-
cpe:2.3:a:sirv:sirv:4.0
-
cpe:2.3:a:sirv:sirv:4.0.1
-
cpe:2.3:a:sirv:sirv:4.0.10
-
cpe:2.3:a:sirv:sirv:4.0.2
-
cpe:2.3:a:sirv:sirv:4.0.3
-
cpe:2.3:a:sirv:sirv:4.0.4
-
cpe:2.3:a:sirv:sirv:4.0.5
-
cpe:2.3:a:sirv:sirv:4.0.6
-
cpe:2.3:a:sirv:sirv:4.0.7
-
cpe:2.3:a:sirv:sirv:4.0.8
-
cpe:2.3:a:sirv:sirv:4.0.9
-
cpe:2.3:a:sirv:sirv:4.1.1
-
cpe:2.3:a:sirv:sirv:4.1.2
-
cpe:2.3:a:sirv:sirv:4.1.3
-
cpe:2.3:a:sirv:sirv:5.0
-
cpe:2.3:a:sirv:sirv:5.0.1
-
cpe:2.3:a:sirv:sirv:5.0.2
-
cpe:2.3:a:sirv:sirv:5.0.3
-
cpe:2.3:a:sirv:sirv:5.0.4
-
cpe:2.3:a:sirv:sirv:5.0.5
-
cpe:2.3:a:sirv:sirv:5.0.6
-
cpe:2.3:a:sirv:sirv:5.0.7
-
cpe:2.3:a:sirv:sirv:5.0.8
-
cpe:2.3:a:sirv:sirv:5.5.0
-
cpe:2.3:a:sirv:sirv:5.5.1
-
cpe:2.3:a:sirv:sirv:5.5.2
-
cpe:2.3:a:sirv:sirv:5.5.5
-
cpe:2.3:a:sirv:sirv:5.5.6
-
cpe:2.3:a:sirv:sirv:5.6.0
-
cpe:2.3:a:sirv:sirv:5.6.1
-
cpe:2.3:a:sirv:sirv:5.6.2
-
cpe:2.3:a:sirv:sirv:5.6.3
-
cpe:2.3:a:sirv:sirv:5.6.4
-
cpe:2.3:a:sirv:sirv:5.6.5
-
cpe:2.3:a:sirv:sirv:5.6.6
-
cpe:2.3:a:sirv:sirv:5.6.7
-
cpe:2.3:a:sirv:sirv:5.6.8
-
cpe:2.3:a:sirv:sirv:5.6.9
-
cpe:2.3:a:sirv:sirv:5.7.0
-
cpe:2.3:a:sirv:sirv:5.7.1
-
cpe:2.3:a:sirv:sirv:5.8.0
-
cpe:2.3:a:sirv:sirv:6.0.0
-
cpe:2.3:a:sirv:sirv:6.1.0
-
cpe:2.3:a:sirv:sirv:6.2.0
-
cpe:2.3:a:sirv:sirv:6.2.1
-
cpe:2.3:a:sirv:sirv:6.3.0
-
cpe:2.3:a:sirv:sirv:6.3.1
-
cpe:2.3:a:sirv:sirv:6.3.2
-
cpe:2.3:a:sirv:sirv:6.5.0
-
cpe:2.3:a:sirv:sirv:6.5.1
-
cpe:2.3:a:sirv:sirv:6.6.0
-
cpe:2.3:a:sirv:sirv:6.6.1
-
cpe:2.3:a:sirv:sirv:6.7.0
-
cpe:2.3:a:sirv:sirv:6.7.1
-
cpe:2.3:a:sirv:sirv:6.8.0
-
cpe:2.3:a:sirv:sirv:6.8.1
-
cpe:2.3:a:sirv:sirv:6.8.2
-
cpe:2.3:a:sirv:sirv:6.8.3
-
cpe:2.3:a:sirv:sirv:6.8.4
-
cpe:2.3:a:sirv:sirv:6.9.0
-
cpe:2.3:a:sirv:sirv:6.9.1
-
cpe:2.3:a:sirv:sirv:6.9.2
-
cpe:2.3:a:sirv:sirv:6.9.3
-
cpe:2.3:a:sirv:sirv:7.0.0
-
cpe:2.3:a:sirv:sirv:7.0.1
-
cpe:2.3:a:sirv:sirv:7.0.2
-
cpe:2.3:a:sirv:sirv:7.1.0
-
cpe:2.3:a:sirv:sirv:7.1.1
-
cpe:2.3:a:sirv:sirv:7.1.2
-
cpe:2.3:a:sirv:sirv:7.1.3
-
cpe:2.3:a:sirv:sirv:7.1.4
-
cpe:2.3:a:sirv:sirv:7.1.5
-
cpe:2.3:a:sirv:sirv:7.2.0
-
cpe:2.3:a:sirv:sirv:7.2.1
-
cpe:2.3:a:sirv:sirv:7.2.2
-
cpe:2.3:a:sirv:sirv:7.2.3
-
cpe:2.3:a:sirv:sirv:7.2.4
-
cpe:2.3:a:sirv:sirv:7.2.5
-
cpe:2.3:a:sirv:sirv:7.2.6
-
cpe:2.3:a:sirv:sirv:7.2.7