CVE-2024-6397

InstaWP Connect – plugin de migração e ambiente de teste do WordPress com um clique para versões até a 0.1.0.44, inclusive

O problema se deve à verificação insuficiente da chave API, permitindo que invasores não autenticados façam login como qualquer usuário existente, como um administrador, caso tenham acesso ao nome de usuário. Isso lhes permite realizar várias tarefas administrativas. A vulnerabilidade foi parcialmente corrigida na versão 0.1.0.44, mas continuou passível de exploração por meio de Cross-Site Request Forgery.

Para versões até e incluindo a 0.1.0.44, considere desativar temporariamente a verificação da chave API até que uma correção completa esteja disponível. Restrinja o acesso a tarefas administrativas para minimizar o risco de exploração. Evite usar a chave API para autenticação até que o problema seja totalmente resolvido. Como solução alternativa temporária, monitore tentativas de Cross-Site Request Forgery e implemente medidas de segurança adicionais para prevenir tais ataques.