WordPress · Friends · CVE-2024-1978
**Nome do software vulnerável e versões afetadas**
O plugin Friends para o WordPress, versões até a 2.8.5, inclusive
**Descrição**
A vulnerabilidade permite que invasores autenticados com acesso de nível de administrador ou superior realizem solicitações web para locais arbitrários a partir da aplicação web. Isso pode ser usado para consultar e modificar informações de serviços internos por meio da função `discover available feeds`.
**Recomendações**
Para versões até a 2.8.5, inclusive, considere desativar a função `discover available feeds` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a serviços internos para minimizar o risco de exploração.