CVE-2024-9195

Nome do Software Vulnerável e Versões Afetadas O plugin WHMPress - WHMCS Client Area para WordPress, versões até e incluindo a 4.3-revision-3

Descrição A falha permite a modificação não autorizada de dados, potencialmente levando ao escalonamento de privilégios, devido à ausência de uma verificação de permissão no caso update settings no arquivo "/admin/ajax.php". Isso permite que atacantes autenticados com acesso de nível de Assinante ou superior atualizem opções arbitrárias no site WordPress, o que pode ser usado para alterar a função padrão para registro para administrador e habilitar o registro de usuários, permitindo que atacantes obtenham acesso de usuário administrativo a um site vulnerável.

Recomendações Para versões até e incluindo a 4.3-revision-3, atualize para uma versão que inclua a verificação de permissão necessária para prevenir a modificação não autorizada de dados. Como solução temporária, considere restringir o acesso ao arquivo "/admin/ajax.php" para minimizar o risco de exploração.