CVE-2024-8490

Nome do software vulnerável e versões afetadas:

Plugin PropertyHive para o WordPress, versões até a 2.0.19, inclusive

Descrição:

O problema se deve à falta ou à validação incorreta do nonce na função save account details, possibilitando que invasores não autenticados editem o nome, o endereço de e-mail e a senha de uma conta de administrador por meio de uma solicitação falsificada. Isso pode ocorrer se um invasor conseguir induzir um administrador do site a realizar uma ação, como clicar em um link.

Recomendações:

Para o plugin PropertyHive para versões do WordPress até a 2.0.19, inclusive, considere desativar a função save account details até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às contas de administrador e monitore qualquer atividade suspeita. Atualize para uma versão que inclua a correção para este problema assim que estiver disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.