CVE-2024-8350

Nome do software vulnerável e versões afetadas:

Plugin Uncanny Groups for LearnDash para WordPress, versões até a 6.1.0.1, inclusive

Descrição:

A vulnerabilidade permite que invasores autenticados com acesso de nível de líder de grupo ou superior explorem uma falha na verificação de permissões no endpoint da API REST “/wp-json/ulgm management/v1/add user/”. Isso permite que eles adicionem usuários ao seu grupo, o que pode levar à escalada de privilégios ao aproveitar a capacidade de alterar endereços de e-mail de contas de administrador, o que, por sua vez, pode resultar no acesso à conta de administrador.

Recomendações:

Para versões até e incluindo a 6.1.0.1, atualize para uma versão que inclua uma correção para este problema a fim de evitar a exploração.

Como solução alternativa temporária, considere restringir o acesso ao endpoint da API “/wp-json/ulgm management/v1/add user/” até que um patch esteja disponível.

Restrinja o acesso de nível de líder de grupo e superior para minimizar o risco de exploração.