CVE-2024-12402

Nome do Software Vulnerável e Versões Afetadas O plugin The Themes Coder – Create Android & iOS Apps For Your Woocommerce Site para WordPress, versões até a 1.3.4 inclusive

Descrição A questão está relacionada à escalação de privilégios via tomada de conta, devido ao plugin não validar corretamente a identidade do usuário antes de atualizar sua senha através da função update user profile(). Isso permite que atacantes não autenticados alterem as senhas de usuários arbitrários, incluindo administradores, e obtenham acesso às suas contas.

Recomendações Para versões até a 1.3.4 inclusive, atualize para uma versão que valide corretamente a identidade do usuário antes de permitir atualizações de senha ou, como solução alternativa temporária, considere desativar a função update user profile() até que uma correção esteja disponível. Restrinja o acesso às atualizações de perfil de usuário para minimizar o risco de exploração. Evite utilizar o plugin até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.