CVE-2024-13692

Nome do Software Vulnerável e Versões Afetadas O plugin The Return Refund and Exchange For WooCommerce – Return Management System, RMA Exchange, Wallet And Cancel Order Features para WordPress versões até, e incluindo, 4.4.5

Descrição A falha permite que atacantes não autenticados explorem uma vulnerabilidade de Referência Direta a Objetos Insegura devido à falta de validação em uma chave controlada pelo usuário. Isso possibilita que atacantes sobrescrevam anexos de imagem de reembolso vinculados, sobrescrevam mensagens de solicitação de reembolso, sobrescrevam mensagens de pedido e leiam mensagens de pedido de outros usuários.

Recomendações Para versões até, e incluindo, 4.4.5, atualize para uma versão posterior à 4.4.5 para resolver a falha. Como solução alternativa temporária, considere restringir o acesso às funções que manipulam anexos de imagem de reembolso, mensagens de solicitação de reembolso e mensagens de pedido até que uma correção esteja disponível.