PT-2021-11069 · Pluck · Pluck
F1Sh1001
·
Publicado
2021-05-18
·
Atualizado
2021-05-24
·
CVE-2020-24740
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:P/A:N |
**Nome do software vulnerável e versões afetadas:
Pluck versão 4.7.10-dev2
Descrição:
Foi identificada uma falha que permite uma vulnerabilidade CSRF, possibilitando a edição de páginas por meio do endpoint da API “/admin.php?action=editpage”. Essa falha pode ser potencialmente explorada para modificar páginas sem a devida autorização.
Recomendações:
Para a versão 4.7.10-dev2 do Pluck, como solução temporária, considere desativar a funcionalidade de edição de páginas no endpoint /admin.php?action=editpage até que uma correção esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pluck