PT-2024-17131 · WordPress · Sky Addons For Elementor
Dale Mavers
+1
·
Publicado
2024-11-21
·
Atualizado
2024-11-22
·
CVE-2024-11601
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
O plugin Sky Addons for Elementor para versões do WordPress até a 2.6.1, inclusive
Descrição
O problema está relacionado a Cross-Site Request Forgery devido à falta ou incorreção na validação do nonce na função
save options(). Isso permite que invasores não autenticados atualizem opções arbitrárias no site WordPress por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link. O impacto se limita a valores de opções que podem ser salvos como matrizes.Recomendações
Para versões até a 2.6.1, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função
save options(). Como solução temporária, considere restringir o acesso à função save options() até que um patch esteja disponível.Correção
Missing Authorization
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sky Addons For Elementor