A falha dada pelo CVE-2024-43222 foi recentemente identificada no tema Sweet Date, um tema premium de wordpress existente em dezenas de milhares de páginas web.

A falha decorre da falta de sanitização de input e verificações de autorização no código de base do tema. Mais especificamente, a parte do código responsável por processar o input do utilizador - wp_ajax_fb_initialize - estava com falta de medidas de segurança. Desta forma, o atacante podia de forma não autenticada manipular a funcionalidade e escalar privilégios, levando em última análise ao takeover da página web. Além disso, o atacante podia comprometer contas, distribuir malware e executar código arbitrário.

Solução

Atualizar para a versão 3.8.0

Mais informações: https://patchstack.com/articles/unauthenticated-privilege-escalation-vulnerability-patched-in-sweet-date-theme/

Atualização do tema: https://themeforest.net/item/sweet-date-more-than-a-wordpress-dating-theme/4994573?srsltid=AfmBOopgNQ3gnWB9JUIcjVsJ-HgCm6UWvi779DIF8yqDYGdQ1ZAL_Ihr