PT-2022-13906 · WordPress · Booking Calendar
Ramuel Gall
·
Publicado
2022-05-10
·
Atualizado
2022-05-17
·
CVE-2022-1463
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Booking Calendar para WordPress versão 9.1 e anteriores
Descrição
A vulnerabilidade permite a injeção de objetos PHP por meio do shortcode
bookingflextimeline. Isso poderia ser explorado por usuários com permissão de assinante ou superior para chamar objetos PHP arbitrários em um site vulnerável.Recomendações
Para versões até a 9.1, inclusive, atualize para uma versão posterior à 9.1 para resolver o problema.
Como solução temporária, considere restringir o acesso ao shortcode
bookingflextimeline até que um patch esteja disponível.Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Booking Calendar