PT-2022-9474 · WordPress · Custom Content Shortcode
Francesco Carlucci
·
Publicado
2022-03-07
·
Atualizado
2022-04-12
·
CVE-2021-24824
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin Custom Content Shortcode para WordPress anteriores à 4.0.1
Descrição
A vulnerabilidade permite que usuários autenticados, mesmo com uma função tão básica quanto a de colaborador, acessem metadados arbitrários de publicações, o que pode levar à divulgação de dados confidenciais. Por exemplo, quando usado em combinação com o WooCommerce, pode ser utilizado para obter o endereço de e-mail de pedidos.
Recomendações
Para versões anteriores à 4.0.1, atualize para a versão 4.0.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do shortcode
field a funções de nível superior até que a atualização seja aplicada.Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Custom Content Shortcode