CVE-2021-24194

**Nome do software vulnerável e versões afetadas:

Plugin “Login Protection - Limit Failed Login Attempts” do WordPress, versões anteriores à 2.9

Descrição:

A vulnerabilidade permite que usuários com privilégios limitados explorem a ação AJAX ‘cp plugins do button job later callback’ para instalar qualquer plugin, incluindo versões específicas, a partir do repositório do WordPress e ativar plugins arbitrários no blog. Isso pode levar à instalação de plugins vulneráveis, resultando potencialmente em vulnerabilidades mais graves, como a execução remota de código (RCE).

Recomendações:

Para versões anteriores à 2.9, atualize para a versão 2.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX ‘cp plugins do button job later callback’ para impedir que usuários com privilégios limitados instalem e ativem plugins arbitrários.