PT-2025-21409 · WordPress · Btev Wordpress Plugin
Bob Matyas
·
Publicado
2025-05-15
·
Atualizado
2025-06-12
·
CVE-2024-10677
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Plugin BTEV para WordPress versões 2.0.2 e anteriores
Descrição:
O problema refere-se à falta de uma verificação CSRF ao atualizar as configurações, o que poderia permitir que atacantes façam com que um administrador logado as altere por meio de um ataque CSRF. Isso poderia potencialmente permitir que atacantes modifiquem as configurações do plugin sem o conhecimento ou consentimento do administrador.
Recomendações:
Para as versões 2.0.2 e anteriores do plugin BTEV para WordPress, considere desativar a funcionalidade de atualização de configurações até que um patch esteja disponível que inclua uma verificação CSRF. Como medida temporária, restrinja o acesso à página de atualização de configurações para minimizar o risco de exploração.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Btev Wordpress Plugin