CVE-2024-13438

Nome do Software Vulnerável e Versões Afetadas Plugin SpeedSize Image & Video AI-Optimizer para WordPress, versões até e incluindo a 1.5.1

Descrição O problema deve-se à validação de nonce ausente ou incorreta na função speedsize clear css cache action, o que torna possível que atacantes não autenticados limpem o cache do plugin por meio de uma requisição forjada. Isso pode ser conseguido se os atacantes conseguirem enganar um administrador do site para realizar uma ação, como clicar em um link.

Recomendações Para versões até e incluindo a 1.5.1, considere desativar a função speedsize clear css cache action até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso à funcionalidade de gerenciamento de cache do plugin para minimizar o risco de limpeza de cache por partes não autorizadas. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.