PT-2025-12778 · WordPress · Estatebud – Properties & Listings
Dhabaleshwar Das
·
Publicado
2025-03-25
·
Atualizado
2025-03-25
·
CVE-2024-13710
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
O plugin Estatebud – Properties & Listings para WordPress, versões até e incluindo a 5.5.0
Descrição
O problema está relacionado à Falsificação de Solicitação Entre Sites (Cross-Site Request Forgery) devido à validação de nonce ausente ou incorreta na página 'estatebud settings'. Isso permite que atacantes não autenticados atualizem as configurações do plugin por meio de uma solicitação forjada, caso consigam enganar um administrador do site para realizar uma ação específica, como clicar em um link.
Recomendações
Para versões até e incluindo a 5.5.0, atualize para uma versão que inclua a correção para o problema de validação de nonce na página 'estatebud settings' para prevenir ataques de Falsificação de Solicitação Entre Sites.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Estatebud – Properties & Listings