PT-2022-14029 · Unknown · Jupiter Theme
Ramuel Gall
·
Publicado
2022-05-19
·
Atualizado
2022-06-21
·
CVE-2022-1658
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do tema Jupiter <= 6.10.1
Descrição
A vulnerabilidade permite a exclusão arbitrária de plugins por qualquer usuário autenticado, incluindo aqueles com a função de assinante, por meio da ação AJAX
abb remove plugin. Essa ação está registrada no arquivo plugin-management.php, permitindo que qualquer usuário conectado exclua plugins instalados no site.Recomendações
Para versões <= 6.10.1, considere desativar a ação AJAX
abb remove plugin até que um patch esteja disponível para impedir a exclusão arbitrária de plugins. Restrinja o acesso ao arquivo plugin-management.php para minimizar o risco de exploração. Evite usar a ação abb remove plugin no endpoint AJAX afetado até que o problema seja resolvido.Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jupiter Theme