CVE-2021-25042

WP Visitor Statistics (Real Time Traffic) versões anteriores à 5.5

O problema diz respeito à falta de verificações de autorização e CSRF na ação AJAX updateIpAddress. Isso permite que qualquer usuário autenticado chame a ação ou faça com que um usuário conectado a execute por meio de um ataque CSRF, possibilitando a adição de um endereço IP arbitrário a ser excluído. Além disso, devido à falta de validação, sanitização e escapamento, os usuários poderiam definir um valor malicioso e realizar ataques de Cross-Site Scripting contra administradores conectados.

Para versões anteriores à 5.5, atualize para a versão 5.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX updateIpAddress para impedir chamadas não autorizadas até que um patch seja aplicado. Além disso, restrinja a capacidade dos usuários de definir endereços IP arbitrários a serem excluídos, para minimizar o risco de ataques de Cross-Site Scripting.