CVE-2024-11725

Nome do Software Vulnerável e Versões Afetadas SMS Alert Order Notifications – Plugin WooCommerce para WordPress versões até, e incluindo, 3.7.6

Descrição O problema envolve a modificação não autorizada de dados que pode levar ao escalonamento de privilégios devido à ausência de verificação de permissão na função updateWcWarrantySettings(). Isso permite que atacantes autenticados, com acesso de nível de assinante ou superior, atualizem opções arbitrárias no site WordPress, potencialmente alterando a função padrão para registro para administrador e habilitando o registro de usuários para que atacantes obtenham acesso de usuário administrativo. A exploração requer que o plugin woocommerce-warranty esteja instalado.

Recomendações Para versões até, e incluindo, 3.7.6, considere desabilitar a função updateWcWarrantySettings() até que uma correção esteja disponível para prevenir a modificação não autorizada de dados. Como solução temporária, restrinja o acesso ao plugin woocommerce-warranty para minimizar o risco de exploração. Evite usar o plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.