PT-2024-38903 · WordPress · Fox – Currency Switcher Professional
Arkadiusz Hydzik
·
Publicado
2024-09-13
·
Atualizado
2024-09-27
·
CVE-2024-8271
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas:
O plugin FOX – Currency Switcher Professional para WooCommerce para versões do WordPress até a 1.4.2.1, inclusive
Descrição:
O problema está relacionado à execução arbitrária de shortcodes, pois o software permite que os usuários executem uma ação que não valida corretamente um valor antes de executar
do shortcode na função woocs get custom price html. Isso possibilita que invasores não autenticados executem shortcodes arbitrários.Recomendações:
Para versões até e incluindo a 1.4.2.1, considere desativar a função
woocs get custom price html até que um patch esteja disponível para impedir a execução arbitrária de shortcodes. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fox – Currency Switcher Professional