CVE-2024-13774

Nome do Software Vulnerável e Versões Afetadas O plugin The Wishlist for WooCommerce: Multi Wishlists Per Customer para WordPress, versões até a 3.1.7 inclusive.

Descrição A questão está relacionada à Falsificação de Solicitação Entre Sites (CSRF) devido à validação de nonce ausente ou incorreta na função save to multiple wishlist. Isso permite que atacantes não autenticados atualizem configurações e injetem scripts web maliciosos através de uma requisição forjada, desde que consigam induzir um administrador do site a realizar uma ação específica, como clicar em um link.

Recomendações Para versões até a 3.1.7 inclusive, atualize para uma versão que inclua a correção para o problema de validação de nonce na função save to multiple wishlist. Como solução alternativa temporária, considere restringir o acesso à função save to multiple wishlist para prevenir a exploração até que um patch esteja disponível.