CVE-2024-8520

Nome do software vulnerável e versões afetadas:

Plugin “The Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership” para versões do WordPress até a 2.8.6, inclusive

Descrição:

O problema está relacionado à falsificação de solicitação entre sites (CSRF) devido à falta ou incorreção na validação do nonce nas funções admin init ou user action hook. Isso permite que invasores não autenticados modifiquem o status de membro de um usuário por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link.

Recomendações:

Para versões até a 2.8.6, inclusive, atualize para uma versão que inclua a correção para o problema de validação de nonce nas funções admin init ou user action hook.

Como solução temporária, considere restringir o acesso às funções admin init e user action hook até que um patch esteja disponível.