CVE-2024-13801

Nome do Software Vulnerável e Versões Afetadas Plugin BWL Advanced FAQ Manager para WordPress versões até e incluindo a 2.1.4

Descrição A falha permite a modificação não autorizada de dados, potencialmente levando a uma negação de serviço. Isso se deve a uma verificação de permissões ausente na ação AJAX baf set notice status. Atacantes autenticados com acesso de nível de Assinante ou superior podem atualizar valores de opção para 1 no site WordPress. Isso pode ser explorado para gerar um erro no site, negando serviço a usuários legítimos, ou para definir certos valores como verdadeiros, como o registro.

Recomendações Para versões até e incluindo a 2.1.4, atualize para uma versão superior à 2.1.4 para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX baf set notice status para prevenir modificações não autorizadas.