PT-2021-16282 · WordPress · Batch Cat
Quentin Villain
·
Publicado
2021-11-08
·
Atualizado
2022-07-30
·
CVE-2021-24788
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
Plugin Batch Cat para WordPress, versões 0.3 e anteriores
Descrição:
A vulnerabilidade permite que qualquer usuário autenticado, incluindo simples assinantes, adicione, defina ou exclua categorias arbitrárias das publicações. Isso ocorre porque o plugin define três ações AJAX personalizadas que exigem autenticação, mas estão disponíveis para todas as funções.
Recomendações:
Para as versões 0.3 e anteriores do plugin Batch Cat para WordPress, atualize para uma versão que corrija este problema, a fim de restringir o acesso às ações AJAX personalizadas.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Batch Cat