CVE-2024-11423

Nome do Software Vulnerável e Versões Afetadas Plugin The Ultimate Gift Cards for WooCommerce para WordPress, versões até e incluindo a 3.0.6

Descrição O problema está relacionado à falta de verificação de permissão em vários endpoints da API REST, como /wp-json/gifting/recharge-giftcard. Isso permite que atacantes não autenticados modifiquem dados, incluindo recarregar saldos de gift cards sem realizar um pagamento e reduzir saldos de gift cards sem adquirir qualquer produto.

Recomendações Para versões até e incluindo a 3.0.6, atualize para uma versão superior à 3.0.6 para resolver o problema. Como medida temporária, considere restringir o acesso ao endpoint da API /wp-json/gifting/recharge-giftcard até que um patch esteja disponível. Evite utilizar os endpoints da API REST afetados até que o problema seja resolvido.