CVE-2024-0613

Plugin Delete Custom Fields para versões do WordPress até a 0.3.1, inclusive

O problema se deve à falta ou à validação incorreta do nonce na função ajax delete field(), possibilitando que invasores não autenticados excluam metadados arbitrários de postagens por meio de uma solicitação falsificada. Isso pode ocorrer se um invasor conseguir induzir um administrador do site a realizar uma ação, como clicar em um link.

Para versões até e incluindo a 0.3.1, considere desativar a função ajax delete field() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exclusão arbitrária de metadados de postagem. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.