PT-2025-9084 · WordPress · The Nextmove Lite – Thank You Page For Woocommerce
Incognito
+1
·
Publicado
2025-02-28
·
Atualizado
2025-02-28
·
CVE-2024-10860
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
NextMove Lite – Plugin Thank You Page for WooCommerce para WordPress, versões até e incluindo a 2.19.0
Descrição
O problema surge devido à ausência de uma verificação de permissão na função
submit uninstall reason action(), permitindo que atacantes autenticados com acesso de nível de Assinante ou superior enviem um motivo de desativação em nome de um site. Isso possibilita o envio não autorizado de dados.Recomendações
Para versões até e incluindo a 2.19.0, atualize para uma versão que inclua uma correção para a verificação de permissão ausente na função
submit uninstall reason action(). Como solução temporária, considere restringir o acesso à função submit uninstall reason action() para prevenir o envio não autorizado de dados.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Nextmove Lite – Thank You Page For Woocommerce