CVE-2024-7628

Plugin MStore API – Create Native Android & iOS Apps On The Cloud para o WordPress, versões até a 4.15.2, inclusive

O problema se deve ao uso de comparação fraca na função verify id token, possibilitando que invasores não autenticados façam login como qualquer usuário existente no site, como um administrador, caso tenham acesso a um endereço de e-mail ou número de telefone @flutter.io. Isso também requer que o Firebase esteja configurado no site e que o usuário tenha configurado o Firebase para sua conta.

Para versões até a 4.15.2, inclusive, considere desativar a função verify id token até que um patch esteja disponível para impedir a burla da autenticação. Restrinja o acesso às funcionalidades do plugin que dependem da configuração do Firebase para minimizar o risco de exploração. Evite usar endereços de e-mail ou números de telefone associados a @flutter.io nas contas de usuário até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.