CVE-2024-13746

Nome do Software Vulnerável e Versões Afetadas Plugin Booking Calendar and Notification para WordPress em versões anteriores à 4.0.4

Descrição A falha permite acesso não autorizado, modificação e perda de dados devido à ausência de verificações de capacidade nas funções wpcb all bookings(), wpcb update booking post() e wpcb delete posts(). Isso possibilita que atacantes não autenticados extraiam dados, criem ou atualizem reservas, ou excluam posts arbitrários.

Recomendações Para versões anteriores à 4.0.4, atualize para a versão 4.0.4 ou posterior para resolver a falha. Como medida paliativa temporária, considere desativar as funções wpcb all bookings(), wpcb update booking post() e wpcb delete posts() até que uma correção esteja disponível. Restrinja o acesso a essas funções para minimizar o risco de exploração.