PT-2025-6432 · WordPress · Houzez Property Feed
Dhabaleshwar Das
·
Publicado
2025-02-12
·
Atualizado
2025-02-25
·
CVE-2025-0808
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
Plugin Houzez Property Feed para WordPress nas versões até e incluindo a 2.4.21
Descrição
O problema ocorre devido à validação de nonce ausente ou incorreta na ação
deleteexport, o que possibilita que atacantes não autenticados excluam exports de feed de propriedades por meio de uma requisição forjada. Isso pode ser logrado induzindo um administrador do site a realizar uma ação, como clicar em um link.Recomendações
Para versões até e incluindo a 2.4.21, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na ação
deleteexport.
Como medida de contorno temporária, considere restringir o acesso à ação deleteexport para impedir que atacantes não autenticados excluam exports de feed de propriedades.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Houzez Property Feed