CVE-2024-8979

Nome do software vulnerável e versões afetadas:

O plugin Essential Addons for Elementor para versões do WordPress até a 6.0.9, inclusive

Descrição:

A vulnerabilidade permite que invasores autenticados com acesso de nível Autor ou superior extraiam dados confidenciais, incluindo nomes de usuário e senhas de qualquer usuário, explorando a função init content lostpassword user email controls. Isso é possível quando um usuário abre a notificação por e-mail de uma solicitação de alteração de senha e as imagens não são bloqueadas pelo cliente de e-mail.

Recomendações:

Para versões até a 6.0.9, inclusive, atualize para uma versão corrigida imediatamente para mitigar o risco. Como solução temporária, considere restringir o acesso à função init content lostpassword user email controls até que uma correção esteja disponível. Além disso, os usuários devem ter cuidado ao abrir notificações por e-mail para solicitações de alteração de senha, especialmente se as imagens não forem bloqueadas pelo cliente de e-mail.