CVE-2024-12322

Nome do Software Vulnerável e Versões Afetadas Plugin Widget do ThePerfectWedding.nl para WordPress, versões até a 2.8, inclusive

Descrição O problema está relacionado à Falsificação de Solicitação Entre Sites devido à validação de nonce ausente ou incorreta na função update option. Isso permite que atacantes não autenticados atualizem a opção tpwKey com Cross-Site Scripting armazenado por meio de uma requisição forjada, desde que consigam enganar um administrador do site para realizar uma ação, como clicar em um link.

Recomendações Para versões até a 2.8, inclusive, considere desativar a função update option até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso à opção tpwKey para minimizar o risco de Cross-Site Scripting armazenado. Evite usar a função update option com a opção tpwKey até que o problema seja resolvido. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.