CVE-2024-10574

Nome do Software Vulnerável e Versões Afetadas O plugin Quiz Maker Business para WordPress versões até a 8.8.0, inclusive O plugin Quiz Maker Developer para WordPress versões até a 21.8.0, inclusive O plugin Quiz Maker Agency para WordPress versões até a 31.8.0, inclusive

Descrição O problema está relacionado à modificação não autorizada de dados devido à falta de verificação de capacidade na função ays save google credentials. Isso permite que atacantes não autenticados modifiquem as credenciais de integração do Google Sheets nas configurações do plugin. Além disso, como o parâmetro client id não é sanitizado ou escapado quando usado na saída, isso também pode ser aproveitado para injetar scripts web arbitrários em páginas que serão executadas sempre que um usuário acessar uma página injetada.

Recomendações O plugin Quiz Maker Business para WordPress versões até a 8.8.0, inclusive, deve ser atualizado para uma versão superior a 8.8.0 para resolver o problema. O plugin Quiz Maker Developer para WordPress versões até a 21.8.0, inclusive, deve ser atualizado para uma versão superior a 21.8.0 para resolver o problema. O plugin Quiz Maker Agency para WordPress versões até a 31.8.0, inclusive, deve ser atualizado para uma versão superior a 31.8.0 para resolver o problema.