CVE-2024-12827

Nome do Software Vulnerável e Versões Afetadas: Tema WordPress DWT - Directory & Listing, versões até e incluindo a 3.3.6

Descrição: A falha permite escalonamento de privilégios via apropriação de conta devido à validação inadequada de um valor de token vazio antes de redefinir a senha de um usuário através da função dwt listing reset password(). Isso possibilita que atacantes não autenticados alterem as senhas de quaisquer usuários, incluindo administradores, e obtenham acesso às suas contas.

Recomendações: Para as versões até e incluindo a 3.3.6, como solução alternativa temporária, considere desativar a função dwt listing reset password() até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.