Marvin Santos

**Nome do software vulnerável e versões afetadas: Versões do plugin Credova Financial para WordPress até a 1.4.8, inclusive Descrição: O plugin Credova Financial para WordPress expõe o nome de usuário e a senha da conta da API Credova associada ao site em texto simples por meio de uma ação AJAX sempre que um usuário do site procede ao checkout em uma página que tenha a opção de financiamento Credova ativada. Recomendações: Para versões até a 1.4.8, inclusive, atualize para uma versão posterior à 1.4.8 para resolver o problema. Como solução temporária, considere desativar a opção Credova Financing nas páginas de checkout até que um patch esteja disponível. Restrinja o acesso à ação AJAX que expõe as credenciais da conta da API Credova para minimizar o risco de exploração.