CVE-2024-13487

Nome do Software Vulnerável e Versões Afetadas: As versões do CURCY – Multi Currency for WooCommerce até e incluindo a 2.2.5

Descrição: O problema permite que atacantes não autenticados executem shortcodes arbitrários devido ao software não validar corretamente um valor antes de executar do shortcode(). Isso é possível através da função get products price(). Usuários não autenticados podem executar shortcodes arbitrários no popular plugin gratuito de câmbio de moedas.

Recomendações: Como solução temporária, considere desabilitar a função get products price() até que um patch esteja disponível. Restrinja o acesso à função do shortcode() para minimizar o risco de exploração. Evite usar a função get products price() no plugin afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.