PT-2024-38871 · WordPress · Reviews Feed – Add Testimonials/Customer Reviews From Google Reviews
Jack_Sparrow
+1
·
Publicado
2024-08-27
·
Atualizado
2024-08-30
·
CVE-2024-8200
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas:
Plugin “Reviews Feed – Add Testimonials and Customer Reviews From Google Reviews, Yelp, TripAdvisor, and More” para o WordPress, versões até e incluindo a 1.1.2
Descrição:
O problema se deve à falta ou à validação incorreta do nonce na função
update api key, possibilitando que invasores não autenticados atualizem uma chave de API por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link. Isso permite que invasores realizem ações indesejadas em nome dos usuários.Recomendações:
Para versões até e incluindo a 1.1.2, atualize imediatamente para uma versão corrigida para resolver o problema. Além disso, verifique os logs em busca de sinais de exploração. Como solução temporária, considere restringir o acesso à função
update api key até que uma correção esteja disponível.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Reviews Feed – Add Testimonials/Customer Reviews From Google Reviews