CVE-2024-9588

Plugin “Category and Taxonomy Meta Fields” para WordPress, versão 1.0.0 e anteriores

O problema está relacionado a Cross-Site Request Forgery devido à falta ou incorreção na validação do nonce na função wpaft option page. Isso permite que invasores não autenticados adicionem e excluam metadados de taxonomia induzindo um administrador do site a realizar uma ação, como clicar em um link.

Para a versão 1.0.0 e anteriores, considere desativar a função wpaft option page até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao gerenciamento de metadados de taxonomia para minimizar o risco de modificações não autorizadas. Evite usar o plugin afetado até que seja lançada uma versão atualizada que resolva o problema de validação do nonce. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.