Arne Breitsprecher

**Nome do software vulnerável e versões afetadas** Versões do plugin ThemeREX Addons anteriores a 09/03/2020 **Descrição** O problema diz respeito à falta de controle de acesso no endpoint da API “/trx addons/v2/get/sc layout”, permitindo que qualquer usuário execute funções PHP. Isso ocorre porque a função `trx addons rest get sc layout` é chamada com um parâmetro `sc` inseguro no arquivo includes/plugin.rest-api.php. **Recomendações** Para versões do plugin ThemeREX Addons anteriores a 09/03/2020, atualize para uma versão lançada após 09/03/2020 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API “/trx addons/v2/get/sc layout” para minimizar o risco de exploração.