CVE-2024-2297

Nome do Software Vulnerável e Versões Afetadas O tema Bricks para WordPress, versões até e incluindo a 1.9.6.1

Descrição O problema deve-se a verificações de validação insuficientes na função AJAX create autosave, permitindo que atacantes autenticados com acesso de nível de contribuidor ou superior executem código PHP arbitrário com privilégios elevados. A exploração bem-sucedida requer que o Bricks Builder esteja habilitado para publicações, que o acesso ao Builder esteja habilitado para usuários de nível de contribuidor e que a "Execução de Código" esteja habilitada para usuários de nível de administrador nas configurações do tema.

Recomendações Para versões até e incluindo a 1.9.6.1, considere desativar a função AJAX create autosave até que uma correção esteja disponível. Adicionalmente, restrinja o acesso ao Builder para usuários de nível de contribuidor e desative a "Execução de Código" para usuários de nível de administrador nas configurações do tema para minimizar o risco de exploração.