CVE-2024-6254

Nome do software vulnerável e versões afetadas:

Brizy – plugin Page Builder para o WordPress, versões até a 2.5.1, inclusive

Descrição:

O problema se deve à falta ou à incorreção da validação de nonce nos envios de formulários, possibilitando que invasores não autenticados enviem formulários destinados ao uso público como se fossem outro usuário, por meio de uma solicitação falsificada. Isso pode ocorrer se um invasor conseguir induzir um administrador do site a realizar uma ação, como clicar em um link. Em sites onde o unfiltered html está habilitado, isso pode levar o administrador a adicionar, sem saber, uma carga de Stored Cross-Site Scripting.

Recomendações:

Para versões até a 2.5.1, inclusive, atualize para uma versão que inclua a correção para o problema de validação de nonce ausente ou incorreta. Como solução alternativa temporária, considere restringir o acesso ao envio de formulários para minimizar o risco de exploração. Além disso, desativar o unfiltered html em sites onde não seja necessário pode ajudar a impedir a adição de cargas de Stored Cross-Site Scripting.