PT-2024-14790 · WordPress · W3 Total Cache
Ivan Kuzymchak
·
Publicado
2024-09-24
·
Atualizado
2024-09-30
·
CVE-2023-5359
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin W3 Total Cache para o WordPress, versões até a 2.7.5, inclusive
Descrição
A vulnerabilidade permite que invasores não autenticados exponham informações confidenciais, especificamente segredos da API do Google OAuth armazenados em texto simples no código-fonte do plugin. Isso pode permitir que invasores se façam passar pelo W3 Total Cache e acessem informações de contas de usuário sob certas condições. No entanto, isso não afeta o site do usuário do WordPress.
Recomendações
Para versões até a 2.7.5, inclusive, atualize para uma versão posterior à 2.7.5 para resolver o problema.
Como solução temporária, considere restringir o acesso aos segredos da API do Google OAuth até que um patch esteja disponível.
Correção
Information Disclosure
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
W3 Total Cache