CVE-2024-11416

Plugin WIP Incoming Lite para versões do WordPress até a 1.1.1, inclusive

O problema está relacionado a Cross-Site Request Forgery devido à falta ou à validação incorreta do nonce na função save option(). Isso permite que invasores não autenticados atualizem configurações e injetem scripts maliciosos na web por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação específica, como clicar em um link.

Para versões até e incluindo a 1.1.1, considere desativar a função save option() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às atualizações de configurações para minimizar o risco de injeção de scripts maliciosos. Evite realizar ações que possam ser acionadas por uma solicitação falsificada até que o problema seja resolvido.