CVE-2024-10174

As versões do WP Project Manager até a 2.6.13, inclusive

O problema está relacionado a uma referência direta a objeto insegura, que afeta o plugin devido à falta de validação na chave controlada pelo usuário user id na classe Abstract Permission. Isso permite que invasores não autenticados falsifiquem sua identidade como administradores e acessem todas as rotas REST do plugin.

Para versões até a 2.6.13, inclusive, atualize o plugin para uma versão posterior à 2.6.13 para mitigar o risco. Como solução temporária, considere restringir o acesso às rotas REST do plugin até que um patch esteja disponível. Evite usar a chave user id nos pontos de extremidade da API afetados até que o problema seja resolvido.