CVE-2021-24790

**Nome do software vulnerável e versões afetadas:

Plugin Contact Form Advanced Database para WordPress, versões 1.0.8 e anteriores

Descrição:

O problema diz respeito à ausência de verificações de autorização e CSRF nas ações AJAX delete cf7 data e export cf7 data, que estão acessíveis a qualquer usuário autenticado. Isso poderia permitir que usuários com uma função tão baixa quanto a de assinante chamassem essas ações, levando potencialmente à exclusão arbitrária de metadados. Além disso, se uma cadeia de gadgets adequada estiver presente em outro plugin, isso poderia resultar em injeção de objeto PHP, já que os dados do usuário são passados para a função maybe unserialize() sem validação.

Recomendações:

Para as versões 1.0.8 e anteriores do plugin Contact Form Advanced Database para WordPress, considere desativar as ações AJAX delete cf7 data e export cf7 data até que um patch esteja disponível para adicionar verificações adequadas de autorização e CSRF. Restrinja o acesso a essas ações para minimizar o risco de exploração. Evite usar a função maybe unserialize() com dados de usuário não validados nos pontos de extremidade AJAX afetados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.