PT-2022-14030 · Unknown · Jupiter X Core
Ramuel Gall
·
Publicado
2022-05-19
·
Atualizado
2022-06-21
·
CVE-2022-1659
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do JupiterX Core <= 2.0.6
Descrição
A vulnerabilidade permite que um invasor chame qualquer função no arquivo includes/condition/class-condition-manager.php enviando a função desejada para ser chamada no parâmetro
sub action por meio da ação AJAX jupiterx conditional manager. Isso pode ser usado para visualizar a configuração do site e os usuários conectados, modificar condições de postagem ou realizar um ataque de negação de serviço.Recomendações
Para versões <= 2.0.6, atualize para uma versão superior a 2.0.6 para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso à ação AJAX
jupiterx conditional manager para minimizar o risco de exploração. Evite usar o parâmetro sub action no endpoint AJAX afetado até que a vulnerabilidade seja resolvida.Exploit
Correção
DoS
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jupiter X Core