CVE-2024-13442

Nome do Software Vulnerável e Versões Afetadas Plugin Service Finder Bookings para WordPress, versão 5.0 e anteriores

Descrição O plugin Service Finder Bookings para WordPress está vulnerável a escalonamento de privilégios via apropriação de conta. Isso se deve ao plugin não validar corretamente a identidade de um usuário antes de realizar um login automático pós-reserva ou atualizar seus detalhes de perfil, como o password. Isso possibilita que atacantes não autenticados façam login como um usuário arbitrário se seu endereço de e-mail for conhecido ou alterem a senha de um usuário arbitrário, incluindo administradores, e utilizem isso para obter acesso à sua conta.

Recomendações Para versões até e incluindo a 5.0, atualize para uma versão que inclua a correção para este problema. Como solução temporária, considere desativar o recurso de login automático e restringir atualizações de perfil para prevenir a exploração. Restrinja o acesso a detalhes do perfil, como o password, para minimizar o risco de alterações não autorizadas. Evite usar o plugin afetado até que uma versão corrigida esteja disponível.