CVE-2024-13855

Nome do Software Vulnerável e Versões Afetadas Plugin Prime Addons for Elementor para WordPress, versões até a 2.0.1 inclusive

Descrição O problema trata de uma vulnerabilidade de Referência Direta Insegura de Objetos. Esta vulnerabilidade deve-se à falta de validação em uma chave controlada pelo usuário no shortcode pae global block. Como resultado, atacantes autenticados com acesso de nível de Contribuidor ou superior podem extrair informações de posts não públicos, incluindo rascunhos, privados, protegidos por senha e posts restritos, mas apenas para posts criados com o Elementor.

Recomendações Para o plugin Prime Addons for Elementor para WordPress, versões até a 2.0.1 inclusive, considere desativar o shortcode pae global block até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso a posts criados com o Elementor para minimizar o risco de extração de informações. Evite usar o shortcode pae global block com entrada controlada pelo usuário até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.