CVE-2024-11640

Nome do Software Vulnerável e Versões Afetadas Plugin VikRentCar Car Rental Management System para WordPress, versões até a 1.4.2 inclusive

Descrição O problema ocorre devido à validação de nonce ausente ou incorreta na função save, tornando possível que atacantes não autenticados alterem os privilégios de acesso do plugin por meio de uma requisição forjada. Isso pode ser feito induzindo um administrador do site a realizar uma ação, como clicar em um link. A exploração bem-sucedida permite que atacantes com privilégios de nível de assinante ou superiores façam upload de arquivos arbitrários no servidor do site afetado, o que pode possibilitar a execução remota de código.

Recomendações Para versões até a 1.4.2 inclusive, considere desativar a função save até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de atacantes fazerem upload de arquivos arbitrários. Evite utilizar o plugin até que uma versão corrigida seja lançada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.