CVE-2024-8247

Nome do software vulnerável e versões afetadas:

O plugin Newsletters para versões do WordPress até a 4.9.9.2, inclusive

Descrição:

O problema surge porque o plugin não restringe quais metadados do usuário podem ser atualizados como opções de tela, possibilitando que invasores autenticados com acesso de nível de assinante ou superior elevem seus privilégios para o de um administrador. Isso afeta apenas usuários com acesso para editar/atualizar opções de tela, o que significa que um administrador precisaria conceder a usuários com privilégios inferiores acesso à página “E-mails enviados e rascunhos” do plugin para que essa vulnerabilidade fosse explorada.

Recomendações:

Para versões até a 4.9.9.2, inclusive, considere restringir o acesso à página “E-mails enviados e rascunhos” do plugin para minimizar o risco de exploração. Como solução temporária, considere desativar a capacidade de editar/atualizar opções de tela para usuários com privilégios inferiores até que um patch esteja disponível.