CVE-2024-13737

Nome do Software Vulnerável e Versões Afetadas O plugin The Motors – Car Dealer, Classifieds & Listing para WordPress, versões até e incluindo a 1.4.57

Descrição O problema está relacionado à falta de verificações de permissões nas funções motors create template e motors delete template, permitindo que atacantes autenticados com acesso de nível Subscriber (Assinante) ou superior excluam posts arbitrários ou criem modelos de listing. Este exploit requer que o plugin Elementor esteja instalado, o qual é um plugin obrigatório para o Motors Starter Theme.

Recomendações Para versões até e incluindo a 1.4.57, atualize para uma versão que inclua as verificações de permissões necessárias para prevenir modificação não autorizada de dados. Como solução temporária, considere restringir o acesso às funções motors create template e motors delete template até que um patch esteja disponível. Restrinja o acesso de nível Subscriber (Assinante) ou superior para minimizar o risco de exploração.