CVE-2024-13795

Nome do Software Vulnerável e Versões Afetadas Plugin Ecwid by Lightspeed Ecommerce Shopping Cart para WordPress versões até, e incluindo, 6.12.27

Descrição O problema está relacionado à Falsificação de Solicitação Entre Sites (CSRF) devido à validação de nonce ausente ou incorreta na função ecwid deactivate feedback(). Isso permite que atacantes não autenticados enviem mensagens de desativação em nome do proprietário do site por meio de uma solicitação forjada, desde que consigam enganar um administrador do site para realizar uma ação, como clicar em um link.

Recomendações Para versões até, e incluindo, 6.12.27, considere desativar a função ecwid deactivate feedback() até que uma correção esteja disponível para prevenir a exploração. Restrinja o acesso à funcionalidade do plugin para minimizar o risco de ataques de Falsificação de Solicitação Entre Sites. Evite usar o plugin até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.