PT-2022-11308 · WordPress · Whmcs Bridge
Publicado
2022-01-18
·
Atualizado
2022-01-24
·
CVE-2021-4074
CVSS v3.1
6.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin WHMCS Bridge para WordPress até a versão 6.1, inclusive
Descrição
A vulnerabilidade permite que invasores injetem scripts web arbitrários por meio do parâmetro
cc whmcs bridge url no arquivo ~/whmcs-bridge/bridge cp.php. Isso ocorre devido à falta de verificações de autorização na função cc whmcs bridge add admin, permitindo que usuários autenticados de nível inferior, como assinantes, explorem essa vulnerabilidade.Recomendações
Para versões até e incluindo a 6.1, atualize para uma versão que inclua uma correção para esta vulnerabilidade a fim de evitar a exploração. Como solução temporária, considere restringir o acesso à função
cc whmcs bridge add admin e ao parâmetro cc whmcs bridge url para minimizar o risco de exploração.Correção
Missing Authorization
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Whmcs Bridge