CVE-2024-13677

Nome do Software Vulnerável e Versões Afetadas GetBookingsWP – Plugin de Calendário de Agendamento de Compromissos para WordPress versões até 1.1.27

Descrição O problema surge da falha do plugin em validar corretamente a identidade de um usuário antes de atualizar seus detalhes, como endereços de e-mail. Isso permite que atacantes autenticados com acesso de nível de assinante ou superior alterem os endereços de e-mail de usuários arbitrários, incluindo os de administradores. Os atacantes podem então aproveitar essa capacidade para redefinir a senha do usuário e obter acesso à sua conta.

Recomendações Para versões até 1.1.27, atualize o plugin para uma versão superior à 1.1.27 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso aos recursos de gerenciamento de usuários do plugin para minimizar o risco de exploração. Adicionalmente, monitore a atividade da conta do usuário para quaisquer alterações suspeitas em endereços de e-mail ou redefinições de senha.