CVE-2024-13694

Nome do Software Vulnerável e Versões Afetadas Plugin WooCommerce Wishlist para WordPress, versões até e incluindo a 1.8.7

Descrição A questão envolve uma falta de validação em uma chave controlada pelo usuário na função download pdf file(), permitindo que atacantes não autenticados extraiam dados de listas de desejos às quais não deveriam ter acesso. Isso se deve a uma vulnerabilidade de Referência Direta a Objetos Insegura (Insecure Direct Object Reference).

Recomendações Para versões até e incluindo a 1.8.7, considere desativar a função download pdf file() até que um patch esteja disponível para prevenir acesso não autorizado aos dados da lista de desejos. Restrinja o acesso à funcionalidade da lista de desejos para minimizar o risco de exploração. Evite utilizar a função vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.