CVE-2024-3249

Plugin Zita Elementor Site Library para o WordPress, versões até a 1.6.2, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de nível de assinante ou superior modifiquem dados sem a devida autorização devido à falta de verificação de permissão em várias funções, incluindo import xml data, xml data import, import option data, import widgets e import customizer settings. Isso permite que invasores criem páginas, atualizem certas opções, como títulos de páginas do WooCommerce e configurações do Elementor, importem widgets e atualizem as configurações do personalizador do plugin e o CSS personalizado do WordPress.

Para versões até a 1.6.2, inclusive, considere atualizar para uma versão em que essa vulnerabilidade esteja totalmente corrigida, pois a versão 1.6.2 resolve o problema apenas parcialmente.

Como solução temporária, considere restringir o acesso às funções import xml data, xml data import, import option data, import widgets e import customizer settings até que uma versão totalmente corrigida esteja disponível.