CVE-2024-13933

Nome do Software Vulnerável e Versões Afetadas FoodBakery | Tema WordPress Delivery Restaurant Directory versões até a 4.7

Descrição O problema está relacionado à Falsificação de Solicitação Entre Sites (CSRF) devido à validação de nonce ausente ou incorreta em várias funções, incluindo foodbakery var backup file delete, foodbakery widget file delete, theme option save, export widget settings, ajax import widget data, foodbakery var settings backup generate, foodbakery var backup file restore e theme option rest all. Isso permite que atacantes não autenticados realizem várias ações, como excluir arquivos arbitrários, atualizar opções do tema, exportar e importar opções de widget, gerar e restaurar backups e redefinir opções do tema, ao induzir um administrador do site a realizar uma ação.

Recomendações Para o FoodBakery | Tema WordPress Delivery Restaurant Directory versões até a 4.7, atualize para uma versão que inclua a validação de nonce necessária para prevenir ataques de Falsificação de Solicitação Entre Sites (CSRF). Como solução temporária, considere restringir o acesso às funções vulneráveis, como foodbakery var backup file delete, foodbakery widget file delete, theme option save, export widget settings, ajax import widget data, foodbakery var settings backup generate, foodbakery var backup file restore e theme option rest all, até que uma correção esteja disponível.