CVE-2024-9654

Plugin Easy Digital Downloads para WordPress, versões 3.1 a 3.3.4

O problema decorre da falta de verificações de validação suficientes na função verify guest email, permitindo que invasores não autenticados contornem as restrições de segurança e visualizem os recibos de outros usuários. Esses recibos contêm links para baixar conteúdo pago. Para explorar essa vulnerabilidade, um invasor precisa saber o endereço de e-mail de outro cliente e o ID do arquivo do conteúdo que ele comprou.

Para as versões 3.1 a 3.3.4, considere desativar a função verify guest email até que um patch esteja disponível para impedir o acesso não autorizado aos recibos de compra. Restrinja o acesso ao processo de geração de recibos para minimizar o risco de exploração. Evite usar a função verify guest email em conjunto com entradas de usuário não validadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.