O Xstore é usado por milhares de lojas online, revolucionando a experiência de comércio e compras online.
CVE-2024-33560: Inclusão local de ficheiros não autenticada. Esta situação, no pior dos cenários, podia levar o atacante a tomar o controlo do site, controlando parte do conteúdo ou dos ficheiros php do servidor.
CVE-2024-33559: sql injection não autenticada. O atacante podai injetar queries sql maliciosas na base de dados, compromemtendo a integridade e segurança.
CVE-2024-33564: utilizadores autenticados podiam atualizar quaisquer opções wordpress, podendo elevar privilégios e aceder funcionalidades sensíveis do site.
Solução
Atualizar o plugin seguindo as instruões do guia oficial
Atualização do Xstore: https://xstore.helpscoutdocs.com/article/63-theme-update
Mais informações no advisory oficial da wordfence: https://www.wordfence.com/blog/2024/05/wordfence-intelligence-weekly-wordpress-vulnerability-report-april-22-2024-to-april-28-2024/
Comments