CVE-2023-6965

O plugin “Pods – Custom Content Types and Fields” para versões do WordPress anteriores à 3.0.11, excluindo as versões 2.7.31.2, 2.8.23.2 e 2.9.19.2.

O problema está relacionado à falta de autorização, o que permite que invasores autenticados com acesso de colaborador ou superior criem pods e usuários com função padrão. Isso é possível devido a um recurso de inclusão de arquivos via shortcode.

Para versões anteriores à 3.0.11, excluindo as versões 2.7.31.2, 2.8.23.2 e 2.9.19.2, atualize para a versão 3.0.11 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao recurso de inclusão de arquivos via shortcode para minimizar o risco de exploração.

Restrinja o acesso a colaboradores ou superior para impedir que invasores criem pods e usuários com função padrão.