CVE-2024-6482

Plugin “Login with phone number” para versões do WordPress até a 1.7.49, inclusive

O problema se deve à falta de validação e à ausência de verificação de permissão nos dados fornecidos pelo usuário na função lwp update password action. Isso permite que invasores autenticados, com acesso de nível de Assinante ou superior, atualizem sua função para qualquer outra função, incluindo Administrador. A vulnerabilidade foi parcialmente corrigida na versão 1.7.40, mas o plugin Login com Número de Telefone Pro era necessário para explorar a vulnerabilidade nas versões 1.7.40 a 1.7.49.

Para versões até 1.7.39, atualize para uma versão superior a 1.7.49 para resolver totalmente o problema.

Para as versões 1.7.40 - 1.7.49, certifique-se de que o plugin “login with phone number pro” não esteja instalado ou em uso e atualize para uma versão superior à 1.7.49 para resolver totalmente o problema.

Como solução temporária, considere desativar a função lwp update password action até que um patch esteja disponível.