CVE-2024-7422

Plugin Theme My Login para versões do WordPress até a 7.1.7, inclusive

O problema se deve à falta ou à validação incorreta do nonce na função tml admin save ms settings(), possibilitando que invasores não autenticados atualizem as configurações do tema por meio de uma solicitação falsificada. Isso pode ocorrer se um invasor conseguir induzir um administrador do site a realizar uma ação, como clicar em um link. O problema afeta apenas instâncias multissite.

Para versões até e incluindo a 7.1.7, atualize para uma versão posterior à 7.1.7 para resolver o problema. Como solução temporária, considere restringir o acesso à função tml admin save ms settings() para minimizar o risco de exploração. Além disso, tenha cuidado ao clicar em links de fontes não confiáveis para evitar realizar acções involuntárias que possam levar à exploração deste problema.