CVE-2023-4729

Plugin LadiApp para o WordPress, versões até a 4.4, inclusive

O problema está relacionado à falta de verificação de nonce na função publish lp(), que é acionada por meio de uma ação AJAX. Isso permite que invasores não autenticados alterem a chave LadiPage, possibilitando-lhes criar novas páginas, incluindo aquelas que acionam XSS armazenado por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma determinada ação, como clicar em um link.

Para versões até a 4.4, inclusive, considere desativar a função publish lp() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à ação AJAX acionada pela função publish lp() para minimizar o risco de exploração. Evite usar o plugin LadiApp até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.