CVE-2024-10591

Nome do Software Vulnerável e Versões Afetadas Plugin MWB HubSpot for WooCommerce – CRM, Carrinho Abandonado, Email Marketing, Automação de Marketing e Analytics para WordPress versões até a 1.5.9, inclusive

Descrição A questão envolve modificação não autorizada de dados que pode levar ao escalonamento de privilégios devido à ausência de verificação de capacidades na função hubwoo save updates(). Isso permite que atacantes autenticados, com acesso de nível de Contribuidor ou superior, atualizem opções arbitrárias no site WordPress, potencialmente alterando a função padrão para registro para Administrador e habilitando o registro de usuários para que atacantes obtenham acesso de usuário administrativo a um site vulnerável.

Recomendações Para versões até a 1.5.9, inclusive, atualize para uma versão superior à 1.5.9 para resolver o problema. Como uma solução alternativa temporária, considere restringir o acesso à função hubwoo save updates() até que uma correção esteja disponível. Além disso, restrinja o registro de usuários e garanta que apenas usuários confiáveis tenham acesso de nível de Contribuidor ou superior para minimizar o risco de exploração.