CVE-2024-1760

O plugin “The Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin” para o WordPress, nas versões até a 1.6.6.20, inclusive

O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (Cross-Site Request Forgery), devido à falta ou à validação incorreta do nonce na função ssa factory reset(). Isso permite que invasores não autenticados redefinam as configurações do plugin por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link.

Para versões até e incluindo a 1.6.6.20, considere desativar a função ssa factory reset() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às configurações do plugin para minimizar o risco de redefinições não autorizadas. Evite realizar ações que possam ser acionadas por solicitações falsificadas, como clicar em links suspeitos, para reduzir o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.