PT-2022-9559 · WordPress · Tipsacarrier Wordpress Plugin
José Aguilera
·
Publicado
2022-05-02
·
Atualizado
2022-10-27
·
CVE-2021-25002
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin Tipsacarrier para WordPress anteriores à 1.5.0.5
Descrição
O problema diz respeito à ausência de verificações de autorização em determinadas funções, permitindo que usuários não autenticados acessem dados de pedidos. Isso poderia ser potencialmente usado para obter informações de clientes, incluindo endereço completo, nome e número de telefone, por meio de uma URL de rastreamento.
Recomendações
Para versões anteriores à 1.5.0.5, atualize para a versão 1.5.0.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às funções afetadas até que um patch seja aplicado.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tipsacarrier Wordpress Plugin