CVE-2025-2168

Nome do Software Vulnerável e Versões Afetadas O plugin The Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider para WordPress, versões até e incluindo a 2.4.1

Descrição O problema está relacionado à Falsificação de Solicitação Entre Sites (Cross-Site Request Forgery) devido à validação de nonce ausente ou incorreta na função dismiss(). Isso permite que atacantes não autenticados definam valores meta do usuário arbitrários para 1, potencialmente bloqueando o acesso de um administrador ao seu site se conseguirem enganar o administrador para realizar uma determinada ação, como clicar em um link.

Recomendações Para versões até e incluindo a 2.4.1, atualize para uma versão que inclua validação de nonce adequada para a função dismiss() para prevenir ataques de Falsificação de Solicitação Entre Sites. Como solução temporária, considere restringir o acesso à função dismiss() até que um patch esteja disponível.