CVE-2024-7747

Plugin Wallet for WooCommerce para o WordPress, versões até a 1.5.6, inclusive

O problema decorre de uma falha na lógica numérica durante a transferência de fundos para outro usuário, permitindo que invasores autenticados com acesso de nível de Assinante ou superior criem fundos durante uma transferência. Isso lhes permite distribuir esses fundos para qualquer número de outros usuários ou para sua própria conta, tornando os produtos efetivamente gratuitos. Além disso, se a extensão Wallet Withdrawal for utilizada, os invasores poderiam solicitar a retirada de fundos, o que exigiria a aprovação de um administrador.

Para versões até e incluindo a 1.5.6, atualize para uma versão superior à 1.5.6 para resolver o problema.

Como solução temporária, considere restringir o acesso ao recurso de transferência de fundos até que um patch esteja disponível.

Evite usar a extensão Wallet Withdrawal até que o problema seja resolvido ou certifique-se de que todas as solicitações de saque sejam cuidadosamente analisadas pelos administradores antes da aprovação.