CVE-2024-13717

Nome do Software Vulnerável e Versões Afetadas O plugin Contact Form and Calls To Action by vcita para WordPress, versões até, e incluindo, a 2.7.1

Descrição O problema está relacionado à falta de uma verificação de capacidade nas funções vcita ajax toggle ae e vcita ajax toggle contact. Isso permite que atacantes autenticados com acesso de nível de assinante e superior ativem e desativem widgets, resultando em modificação não autorizada de dados.

Recomendações Para versões até, e incluindo, a 2.7.1, atualize para uma versão que inclua uma verificação de capacidade nas funções vcita ajax toggle ae e vcita ajax toggle contact para prevenir a modificação não autorizada de dados. Como solução temporária, considere restringir o acesso às funções vcita ajax toggle ae e vcita ajax toggle contact até que uma correção esteja disponível.