PT-2022-14115 · WordPress · One Click Plugin Updater
Daniel Ruf
·
Publicado
2022-06-13
·
Atualizado
2022-06-21
·
CVE-2022-1791
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin One Click Plugin Updater do WordPress, versões 2.4.14 e anteriores
Descrição
O problema diz respeito à ausência de verificação CSRF durante a atualização das configurações, o que poderia permitir que invasores fizessem com que um administrador conectado as alterasse por meio de um ataque CSRF. Isso poderia resultar na desativação ou ocultação do ícone de atualizações disponíveis e da verificação relacionada.
Recomendações
Para as versões 2.4.14 e anteriores do plugin One Click Plugin Updater para WordPress, considere desativar a funcionalidade de atualização de configurações até que um patch esteja disponível para prevenir possíveis ataques CSRF. Restrinja o acesso às configurações do plugin para minimizar o risco de exploração.
Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
One Click Plugin Updater