CVE-2024-8978

Nome do software vulnerável e versões afetadas:

O plugin Essential Addons for Elementor para versões do WordPress até a 6.0.9, inclusive

Descrição:

A vulnerabilidade permite que invasores autenticados com acesso de nível Contribuidor ou superior extraiam dados confidenciais, incluindo nomes de usuário e senhas de usuários que se cadastram por meio do widget Login | Formulário de Cadastro, desde que o usuário abra a notificação por e-mail de cadastro bem-sucedido. Isso é possível devido à exposição de informações confidenciais na função init content register user email controls.

Recomendações:

Para versões até a 6.0.9, inclusive, considere desativar a função init content register user email controls como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao widget Login | Formulário de Registro para minimizar o risco de exploração. Evite usar o widget para registro de usuários até que a vulnerabilidade seja resolvida. Atualize para uma versão posterior à 6.0.9 assim que estiver disponível.