O SeedProd é usado para simplificar o processo de criar e personalizar websites, e é particularmente popular por causa da funcionalidade de drag and drop, que permite criar ou desenvolver websites em precisar de perceber ou escrever código.

A falha corrigida neste plugin é representada pelo CVE-2024-1072, sendo que permitia ao atacante alterar o conteúdo dos sites Wordpress sem autorização.

Tal era possível através da função seedprod_lite_new_lpage, que não tinha qualquer tipo de verificação, permitindo a qualquer pessoa alterar o conteúdo das páginas, desde páginas não encontradas a páginas de manutenção, login, etc.

Solução

Atualizar para a versão 6.15.22

Documentação oficial do SeedProd: https://www.seedprod.com/docs/how-to-manually-update-the-plugin/

Mais informações sobre a falha: https://vuldb.com/?id.252517