CVE-2024-7568

Plugin Favicon Generator para o WordPress, versões até a 1.5, inclusive

O plugin Favicon Generator para o WordPress está vulnerável a ataques de falsificação de solicitação entre sites (Cross-Site Request Forgery) devido à falta ou à validação incorreta do nonce na função output sub admin page 0. Isso permite que invasores não autenticados excluam arquivos arbitrários no servidor por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link.

Para o plugin Favicon Generator para versões do WordPress até a 1.5, inclusive, o autor do plugin excluiu a funcionalidade do plugin para corrigir essa falha e encerrou o plugin. Recomendamos procurar uma alternativa a este plugin. Como solução temporária, considere desativar a função output sub admin page 0 até que um substituto adequado seja encontrado. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração. Evite usar o plugin até que uma alternativa segura seja implementada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.