CVE-2024-13348

Nome do Software Vulnerável e Versões Afetadas Smart Agenda – Plugin de agendamento online para WordPress, versões até a 4.7, inclusive

Descrição O problema deve-se à validação de nonce ausente ou incorreta na função smartagenda options page html(). Isso permite que atacantes não autenticados atualizem configurações e injetem scripts web maliciosos por meio de uma requisição forjada, desde que consigam enganar um administrador do site para realizar uma ação, como clicar em um link.

Recomendações Para versões até a 4.7, inclusive, considere desativar a função smartagenda options page html() até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso às configurações do plugin para minimizar o risco de atualizações de configuração não autorizadas. Evite utilizar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.