Uma vulnerabilidade crítica foi identificada no plugin Oliver POS – A WooCommerce Point of Sale (POS) para WordPress, afetando todas as versões até a 2.4.2.3. Classificada como CVE-2024-13513, essa falha permite a exposição de informações sensíveis e escalada de privilégios devido a uma falha na funcionalidade de registro de logs (logging). Com uma pontuação CVSS de 9.8 (Crítica), essa vulnerabilidade pode permitir que atacantes não autenticados extraiam dados sensíveis, como o clientToken do plugin, e assumam o controle completo do site.
Impacto Potencial:
- Exposição de informações sensíveis (clientToken e outros dados).
- Alteração de informações de contas de usuários, incluindo e-mails e tipo de conta.
- Alteração de senhas de contas, resultando em tomada completa do site.
Apesar da versão 2.4.2.3 ter desativado a funcionalidade de logging, sites com arquivos de log já existentes permanecem vulneráveis. Portanto, é crucial tomar medidas imediatas para mitigar riscos.
Detalhes Técnicos:
- CVSS Vector: CVSS:3.1/AV:N /AC:L /PR:N /UI:N /S:U /C:H /I:H /A:H
- Publicação: 14 de fevereiro de 2025
- Última Atualização: 15 de fevereiro de 2025
- Pesquisador: Krzysztof Zając – CERT PL
Recomendações:
- Verifique se você está utilizando uma versão vulnerável do Oliver POS.
- Atualize o plugin para a versão mais recente ou remova-o temporariamente.
- Exclua manualmente quaisquer arquivos de log antigos que possam conter informações sensíveis.
- Monitore atividades suspeitas em contas de usuários.
- Considere a implementação de um Web Application Firewall (WAF) para proteção adicional.
