CVE-2024-0790

As versões do plugin WOLF – WordPress Posts Bulk Editor and Manager Professional até a versão 1.0.8.1, inclusive

O problema está relacionado à validação de nonce ausente ou incorreta em várias funções, incluindo wpbe create new term, wpbe update tax term e wpbe delete tax term. Isso permite que invasores não autenticados criem, modifiquem e excluam termos de taxonomia por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma determinada ação. Além disso, as funções wpbe save options, wpbe bulk delete posts count, wpbe bulk delete posts e wpbe save meta estão vulneráveis, permitindo que invasores atualizem opções do plugin, excluam contagens de postagens, excluam postagens e modifiquem metadados de postagens por meio de solicitações falsificadas.

Para versões até a 1.0.8.1, inclusive, atualize para uma versão que inclua a validação de nonce necessária para prevenir ataques de falsificação de solicitação entre sites (CSRF).

Como solução temporária, considere restringir o acesso às funções vulneráveis wpbe create new term, wpbe update tax term, wpbe delete tax term, wpbe save options, wpbe bulk delete posts count, wpbe bulk delete posts e wpbe save meta até que um patch esteja disponível.