CVE-2021-29504

**Nome do software vulnerável e versões afetadas:

Versões do WP-CLI de 0.12.0 a 2.4.x

Descrição:

Um tratamento inadequado de erros no gerenciamento de solicitações HTTPS permite que invasores remotos interceptem a comunicação e desativem a verificação de certificados, obtendo controle total sobre o conteúdo da comunicação. Isso inclui a capacidade de se passar por servidores de atualização e enviar atualizações maliciosas para instâncias do WordPress ou para o próprio WP-CLI. O problema decorre do comportamento padrão de WP CLIUtilshttp request() ao encontrar um erro de handshake TLS, que consiste em desativar a validação do certificado e repetir a solicitação.

Recomendações:

Para as versões 0.12.0 a 2.4.x do WP-CLI, atualize para a versão 2.5.0 ou posterior para resolver o problema.

Como solução temporária para lidar com a mudança radical nos comandos diretamente afetados pelo novo comportamento padrão seguro, adicione o sinalizador --insecure para ativar manualmente o comportamento inseguro anterior.