CVE-2024-5941

Nome do software vulnerável e versões afetadas:

GiveWP – Plugin de doações e plataforma de arrecadação de fundos, versões até e incluindo a 3.14.1

Descrição:

O problema está relacionado ao acesso não autorizado e à exclusão de dados devido à falta de uma verificação de permissão na função handle request. Isso permite que invasores autenticados com acesso de nível de Assinante ou superior leiam os caminhos dos anexos e excluam os arquivos anexados.

Recomendações:

Para versões até a 3.14.1, inclusive, atualize para uma versão superior à 3.14.1 para resolver o problema. Como solução temporária, considere restringir o acesso à função handle request até que um patch esteja disponível. Além disso, restrinja o acesso aos arquivos anexados para minimizar o risco de exploração.