CVE-2022-2939

Plugin WP Cerber Security para versões do WordPress até a 9.0, inclusive

O plugin WP Cerber Security para WordPress está vulnerável a uma falha que permite contornar as proteções de segurança, possibilitando a enumeração de usuários. Isso se deve a uma validação inadequada do valor fornecido através do parâmetro author, encontrado no arquivo ~/cerber-load.php. Nas versões vulneráveis, o plugin bloqueia solicitações apenas se o valor fornecido for numérico, possibilitando que invasores forneçam caracteres não numéricos adicionais para contornar a proteção. Os caracteres não numéricos são removidos e o usuário solicitado é exibido. Isso pode ser usado por invasores não autenticados para coletar informações sobre usuários que podem ser alvo de ataques futuros.

Para o plugin WP Cerber Security para versões do WordPress até a 9.0, inclusive, atualize para uma versão que inclua a correção para este problema a fim de impedir a enumeração de usuários. Como solução temporária, considere restringir o acesso ao arquivo ~/cerber-load.php ou modificar a lógica de validação do parâmetro author para impedir que a proteção de segurança seja contornada.