CVE-2024-11641

Nome do Software Vulnerável e Versões Afetadas Plugin VikBooking Hotel Booking Engine & PMS para WordPress, versões até e incluindo a 1.7.2

Descrição O problema ocorre devido à validação de nonce ausente ou incorreta na função save, permitindo que atacantes não autenticados alterem privilégios de acesso do plugin por meio de uma solicitação forjada. Isso pode ser conseguido ao enganar um administrador do site para realizar uma ação, como clicar em um link. A exploração bem-sucedida permite que atacantes com privilégios de nível de assinante ou superiores façam upload de arquivos arbitrários no servidor do site afetado, o que pode tornar possível a execução remota de código.

Recomendações Para versões até e incluindo a 1.7.2, atualize para uma versão que inclua a correção para o problema de validação de nonce na função save. Como solução temporária, considere restringir o acesso à função save para minimizar o risco de exploração. Além disso, restrinja os privilégios ao mínimo necessário para cada usuário para reduzir o impacto potencial do problema.