CVE-2024-10789

Nome do Software Vulnerável e Versões Afetadas Plugin WP User Profile Avatar para WordPress, versões até a 1.0.5, inclusive

Descrição O problema ocorre devido à validação de nonce ausente ou incorreta na função wpupa user admin(), possibilitando que atacantes não autenticados atualizem a configuração do plugin que controla o acesso à funcionalidade por meio de uma requisição forjada. Isso pode ser conseguido se os atacantes conseguirem enganar um administrador do site para realizar uma ação, como clicar em um link.

Recomendações Para o plugin WP User Profile Avatar para WordPress, versões até a 1.0.5, inclusive, considere desativar a função wpupa user admin() até que uma correção esteja disponível para prevenir a exploração. Como solução temporária, restrinja o acesso às configurações do plugin para minimizar o risco de atualizações não autorizadas.