CVE-2024-12264

Nome do Software Vulnerável e Versões Afetadas Plugin PayU CommercePro para WordPress versões até e incluindo a 3.8.3

Descrição O problema ocorre devido aos endpoints da API REST /wp-json/payu/v1/generate-user-token e /wp-json/payu/v1/get-shipping-cost não verificarem adequadamente a identidade de um usuário antes de definir o ID do usuário e os cookies de autenticação. Isso possibilita que atacantes não autenticados criem novas contas de usuário administrativas.

Recomendações Para o Plugin PayU CommercePro para WordPress versões até e incluindo a 3.8.3, considere desabilitar os endpoints da API /wp-json/payu/v1/generate-user-token e /wp-json/payu/v1/get-shipping-cost até que uma correção esteja disponível. Restrinja o acesso a esses endpoints para minimizar o risco de exploração. Evite usar esses endpoints até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.