CVE-2024-4958

Plugin do WordPress “User Registration – Custom Registration Form, Login Form, and User Profile”, versões até e incluindo a 3.2.0.1

A vulnerabilidade permite a modificação não autorizada de dados devido à falta de verificação de permissão na função import form action. Isso permite que invasores autenticados com permissões de nível de colaborador ou superiores importem um formulário de registro com a função padrão de usuário definida como administrador. Se um administrador aprovar ou publicar uma postagem ou página com o shortcode do formulário importado, qualquer usuário poderá se registrar como administrador.

Para versões até e incluindo a 3.2.0.1, considere desativar a função import form action até que um patch esteja disponível para impedir a modificação não autorizada de dados. Restrinja o acesso ao recurso de importação de formulários de registro para minimizar o risco de exploração. Evite usar a função padrão de usuário de administrador em formulários de registro importados até que o problema seja resolvido.