S’han detectat diverses vulnerabilitats en connectors de WordPress.
Anàlisi
El connector Customer Email Verification for WooCommerce per a WordPress és vulnerable a Email Verification and Authentication Bypass en totes les versions fins a, i incloent, 2.7.4 a través de l’ús d’un codi d’activació insuficientment aleatori.
CVE-2024-4185: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:O/C:H/I:H/A:H
El connector ZD YouTube FLV Player per a WordPress és vulnerable a Server-Side Request Forgery en totes les versions fins a, i incloent, l’1.2.6 a través del paràmetre $_GET[‘image’].
CVE-2024-2663: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L
El connector ACF Front End Editor per a WordPress és vulnerable a la modificació no autoritzada de dades a causa d’una falta de comprovació de capacitat en la funció update_texts() en totes les versions fins a la 2.0.2, inclusivament.
CVE-2024-3072: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:O/C:N/I:L/A:N
Recursos afectats
Per al connector WooCommerce: versions anteriors a la 2.7.4, inclusivament.
Per al connector ZD YouTube FLV Player: versions anteriors a la 1.2.6, inclusivament.
Per al connector ACF Front End Editor: versions anteriors a la 2.0.2, inclusivament.
Recomanacions
Per al connector WooCommerce: actualitzar a la versió més recent 2.7.5.
Per al connector ZD YouTube FLV Player: de moment no hi ha solució.
Per al connector ACF Front End Editor: de moment no hi ha solució.
Referències