PT-2024-39956 · WordPress · Multivendorx
Wesley
·
Publicado
2024-10-24
·
Atualizado
2024-10-25
·
CVE-2024-9943
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
MultiVendorX – O plugin “The Ultimate WooCommerce Multivendor Marketplace Solution” para versões do WordPress até a 4.2.4, inclusive
Descrição
O problema se deve à falta ou à incorreção da validação de nonce em várias funções no arquivo
api/class-mvx-rest-controller.php. Isso permite que invasores não autenticados atualizem detalhes de contas de fornecedores, criem contas de fornecedores e excluam usuários arbitrários por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação, como clicar em um link.Recomendações
Para versões até a 4.2.4, inclusive, atualize para uma versão que inclua a correção para o problema de validação de nonce ausente ou incorreta.
Como solução temporária, considere restringir o acesso ao arquivo
api/class-mvx-rest-controller.php até que um patch esteja disponível.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Multivendorx