CVE-2024-12295

Nome do Software Vulnerável e Versões Afetadas Plugin BoomBox Theme Extensions para WordPress versões até a 1.8.0, inclusive

Descrição O plugin BoomBox Theme Extensions para WordPress está vulnerável a escalonamento de privilégios via tomada de conta. Isso ocorre porque o plugin não valida corretamente a identidade do usuário antes de atualizar sua senha através da função boombox ajax reset password. Isso possibilita que atacantes autenticados, com privilégios de nível de assinante ou superior, alterem senhas de quaisquer usuários, incluindo administradores, e utilizem isso para obter acesso às suas contas.

Recomendações Para versões até a 1.8.0, inclusive, atualize para uma versão superior a 1.8.0 para corrigir a vulnerabilidade. Como solução temporária, considere desabilitar a função boombox ajax reset password até que uma correção esteja disponível. Restrinja o acesso ao processo de atualização de senha para minimizar o risco de exploração. Evite usar o recurso de atualização de senha no plugin afetado até que o problema seja resolvido.