CVE-2023-4731

Plugin LadiApp para o WordPress, versões até a 4.4, inclusive

O problema está relacionado à falta de uma verificação de nonce na função init endpoint(), que é acionada via ‘init’. Isso permite que invasores não autenticados modifiquem várias configurações induzindo um administrador do site a realizar uma ação, como clicar em um link. Um invasor pode modificar diretamente a ladipage key, o que lhe permite criar novas publicações no site e injetar scripts maliciosos.

Para versões até a 4.4, inclusive, considere desativar a função init endpoint() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à ladipage key para minimizar o risco de modificações não autorizadas. Evite usar a ladipage key no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.