CVE-2024-13315

Nome do Software Vulnerável e Versões Afetadas Shopwarden – Plugin de monitoramento e teste automatizado do WooCommerce para WordPress, versões até a 1.0.11 inclusive

Descrição O problema deve-se à validação de nonce ausente ou incorreta na função save setting(). Isso permite que atacantes não autenticados atualizem opções arbitrárias e obtenham escalonamento de privilégios por meio de uma requisição forjada, desde que consigam enganar um administrador do site para realizar uma ação, como clicar em um link.

Recomendações Para versões até a 1.0.11 inclusive, atualize para uma versão superior à 1.0.11 para resolver o problema. Como solução temporária, considere restringir o acesso à função save setting() até que um patch esteja disponível. Evite usar a função save setting() de maneira que possa ser explorada por um atacante, como por meio de uma requisição forjada.