CVE-2024-13457

Nome do Software Vulnerável e Versões Afetadas Plugin Event Tickets and Registration para WordPress, versões até a 5.18.1 inclusive

Descrição A falha permite que atacantes não autenticados visualizem detalhes de pedidos que não realizaram, o que inclui preços de ingressos, e-mails de usuários e data do pedido, devido à falta de validação em uma chave controlada pelo usuário via o parâmetro tc-order-id. Isso possibilita que atacantes acessem informações sensíveis sem a devida autorização.

Recomendações Para versões até a 5.18.1 inclusive, atualize para uma versão posterior à 5.18.1 para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro tc-order-id para minimizar o risco de exploração.