CVE-2024-13873

Nome do Software Vulnerável e Versões Afetadas O plugin WP Job Portal – A Complete Recruitment System for Company or Job Board website para WordPress, versões até e incluindo a 2.2.8

Descrição A questão está relacionada a uma Referência Direta Insegura a Objetos (Insecure Direct Object Reference), que permite a atacantes autenticados com acesso de nível de Assinante (Subscriber) ou superior remover fotos de perfil das contas dos usuários por meio da função deleteUserPhoto(). Isso se deve à falta de validação em uma chave controlada pelo usuário. O ataque não exclui o arquivo oficialmente.

Recomendações Para versões até e incluindo a 2.2.8, considere desativar a função deleteUserPhoto() até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso à função deleteUserPhoto() para minimizar o risco de remoção não autorizada de fotos de perfil.