CVE-2024-13852

Nome do Software Vulnerável e Versões Afetadas Plugin Option Editor para WordPress versão 1.0

Descrição O problema deve-se à falta de validação de nonce na função plugin page(), possibilitando que atacantes não autenticados atualizem opções arbitrárias no site WordPress por meio de uma requisição forjada. Isso pode ser explorado para alterar a função padrão de registro para administrador e habilitar o registro de usuários, permitindo que atacantes obtenham acesso de usuário administrador a um site vulnerável.

Recomendações Para a versão 1.0, considere desativar a função plugin page() até que um patch esteja disponível para prevenir a exploração. Adicionalmente, restrinja o acesso às configurações do plugin para minimizar o risco de alterações não autorizadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.