CVE-2021-24914

**Nome do software vulnerável e versões afetadas:

Versões do plugin Tawk.To Live Chat para WordPress anteriores à 0.6.0

Descrição:

O problema diz respeito à ausência de verificações de capacidade e CSRF nas ações AJAX tawkto setwidget e tawkto removewidget, que estão disponíveis para qualquer usuário autenticado. Isso permite que usuários com privilégios limitados, incluindo simples assinantes, alterem os parâmetros tawkto-embed-widget-page-id e tawkto-embed-widget-widget-id, vinculando efetivamente o site vulnerável à sua própria instância do Tawk.to. Como resultado, eles podem monitorar o site, interagir com seus visitantes recebendo e respondendo a mensagens de contato e exibir uma Base de Conhecimento arbitrária. Além disso, a ação tawkto removewidget pode remover o widget de chat ao vivo das páginas.

Recomendações:

Para versões anteriores à 0.6.0, atualize para a versão 0.6.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às ações AJAX tawkto setwidget e tawkto removewidget para impedir alterações não autorizadas. Além disso, restrinja a capacidade de alterar os parâmetros tawkto-embed-widget-page-id e tawkto-embed-widget-widget-id apenas a usuários confiáveis.