CVE-2024-9649

Plugin WP ULike – The Ultimate Engagement Toolkit for Websites para versões do WordPress até a 4.7.4, inclusive

O problema é uma vulnerabilidade de falsificação de solicitação entre sites (Cross-Site Request Forgery) devido à falta ou à validação incorreta do nonce na função wp ulike delete history api(). Isso permite que invasores não autenticados excluam interações por meio de uma solicitação falsificada, caso consigam induzir um administrador do site a realizar uma ação, como clicar em um link.

Para versões até a 4.7.4, inclusive, considere desativar a função wp ulike delete history api() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.