CVE-2024-0588

Paid Memberships Pro – plugin de restrição de conteúdo, registro de usuários e assinaturas pagas para versões do WordPress até a 2.12.10, inclusive

O problema está relacionado a uma falha de falsificação de solicitação entre sites (Cross-Site Request Forgery) devido à falta de validação do nonce na função pmpro lifter save streamline option(). Isso permite que invasores não autenticados habilitem a configuração de otimização com o Lifter LMS por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link.

Para versões até a 2.12.10, inclusive, considere desativar a função pmpro lifter save streamline option() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à configuração de streamline no Lifter LMS para minimizar o risco de alterações não autorizadas. Evite usar a função afetada em tarefas administrativas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.