Ndqkhanh

#9215de 53,635
29.7CVSS total
Vulnerabilidades · 4
Alta
4
PT-2023-14182
7.2
2023-01-23
WordPress · The Analyticator · CVE-2022-4323
**Name of the Vulnerable Software and Affected Versions** The Analyticator WordPress plugin versions prior to 6.5.6 **Description** The issue allows high privilege users, such as admins, to perform PHP Object Injection when a suitable gadget is present. This is due to the plugin unserializing user input provided via the settings. **Recommendations** For versions prior to 6.5.6, update to version 6.5.6 or later to resolve the issue. As a temporary workaround, consider restricting access to the settings page to minimize the risk of exploitation.
PT-2023-13789
7.2
2023-01-09
WordPress · Wp Custom Admin Interface · CVE-2022-4043
**Name of the Vulnerable Software and Affected Versions** WP Custom Admin Interface WordPress plugin versions prior to 7.29 **Description** The issue allows high privilege users, such as admins, to perform PHP Object Injection when a suitable gadget is present. This is due to the plugin unserializing user input provided via the settings. **Recommendations** For WP Custom Admin Interface WordPress plugin versions prior to 7.29, update to version 7.29 or later to resolve the issue.
PT-2022-22426
7.2
2022-11-28
WordPress · Checkout Field Editor · CVE-2022-3490
**Nome do software vulnerável e versões afetadas** O plugin Checkout Field Editor (Checkout Manager) para WooCommerce do WordPress, versões anteriores à 1.8.0 **Descrição** A vulnerabilidade permite que usuários com privilégios elevados, como administradores, realizem injeção de objeto PHP quando um gadget adequado estiver presente. Isso ocorre porque o plugin des-serializa entradas do usuário fornecidas por meio das configurações. **Recomendações** Para versões anteriores à 1.8.0, atualize para a versão 1.8.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de configurações para minimizar o risco de exploração.
PT-2022-21790
8.1
2022-10-31
WordPress · Learnpress · CVE-2022-3360
**Nome do software vulnerável e versões afetadas** Versões do plugin LearnPress para WordPress anteriores à 4.1.7.2 **Descrição** O problema decorre da deserialização de entradas do usuário em um endpoint da API REST, que é acessível a usuários não autenticados. Isso pode levar à injeção de objetos PHP quando um gadget adequado estiver presente, resultando na execução remota de código (RCE). Para explorar essa vulnerabilidade, os invasores devem ter conhecimento dos segredos do site, o que lhes permite gerar um hash válido por meio da função `wp hash()`. **Recomendações** Para versões anteriores à 4.1.7.2, atualize para a versão 4.1.7.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint da API REST para minimizar o risco de exploração.