CVE-2024-13703

Nome do Software Vulnerável e Versões Afetadas: Plugin CRM and Lead Management by vcita para WordPress, versões até e incluindo a 2.7.1

Descrição: A questão está relacionada à modificação não autorizada de dados devido à ausência de verificação de permissão na função vcita ajax toggle ae(). Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior habilitem e desabilitem widgets do plugin.

Recomendações: Para versões até e incluindo a 2.7.1, atualize para uma versão superior à 2.7.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função vcita ajax toggle ae() até que uma correção esteja disponível.