PT-2024-18187 · WordPress · License Manager For Woocommerce
Lucio Sá
·
Publicado
2024-06-20
·
Atualizado
2024-07-17
·
CVE-2024-1639
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin License Manager for WooCommerce para versões do WordPress até a 3.0.7, inclusive
Descrição
O problema está relacionado ao acesso não autorizado a dados devido à falta de verificação de permissão nas funções
showLicenseKey() e showAllLicenseKeys(). Isso permite que invasores autenticados com acesso ao painel de administração visualizem chaves de licença descriptografadas arbitrárias. As funções contêm uma verificação de nonce de referenciador, mas estas podem ser recuperadas através do painel de administração por meio da variável JS license.Recomendações
Para versões até a 3.0.7, inclusive, considere desativar as funções
showLicenseKey() e showAllLicenseKeys() até que um patch esteja disponível. Restrinja o acesso ao plugin License Manager for WooCommerce para minimizar o risco de exploração. Evite usar a variável JS license na área afetada do painel de controle até que o problema seja resolvido.Correção
Incorrect Authorization
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
License Manager For Woocommerce