CVE-2024-5943

Nome do software vulnerável e versões afetadas:

Plugin Nested Pages para versões do WordPress até a 3.2.7, inclusive

Descrição:

O problema se deve à falta ou à validação incorreta do nonce na função settingsPage e à falta de sanitização do parâmetro tab. Isso permite que invasores não autenticados chamem arquivos PHP locais por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link. Os invasores podem explorar essa falha para executar ações não autorizadas por meio de solicitações manipuladas.

Recomendações:

Para o plugin Nested Pages para versões do WordPress até a 3.2.7, inclusive:

Como solução temporária, considere desativar a função settingsPage até que um patch esteja disponível.

Restrinja o acesso ao parâmetro tab para minimizar o risco de exploração.

Evite usar o parâmetro tab nos endpoints de API afetados até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.