PT-2021-22549 · WordPress · Credova Financial
Marvin Santos
·
Publicado
2021-09-29
·
Atualizado
2022-08-05
·
CVE-2021-39342
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do plugin Credova Financial para WordPress até a 1.4.8, inclusive
Descrição:
O plugin Credova Financial para WordPress expõe o nome de usuário e a senha da conta da API Credova associada ao site em texto simples por meio de uma ação AJAX sempre que um usuário do site procede ao checkout em uma página que tenha a opção de financiamento Credova ativada.
Recomendações:
Para versões até a 1.4.8, inclusive, atualize para uma versão posterior à 1.4.8 para resolver o problema. Como solução temporária, considere desativar a opção Credova Financing nas páginas de checkout até que um patch esteja disponível. Restrinja o acesso à ação AJAX que expõe as credenciais da conta da API Credova para minimizar o risco de exploração.
Correção
Cleartext Transmission of Sensitive Information
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Credova Financial