PT-2022-9631 · WordPress · Duplicate Page/Post
Krzysztof Zając
·
Publicado
2022-02-21
·
Atualizado
2022-02-28
·
CVE-2021-25075
CVSS v3.1
3.5
Baixa
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin “Duplicate Page or Post” para WordPress anteriores à 1.5.1
Descrição
O problema diz respeito à falta de autorização e a uma verificação CSRF defeituosa na ação AJAX
wpdevart duplicate post parametrs save in db. Isso permite que qualquer usuário autenticado altere as configurações do plugin ou execute um ataque CSRF. Além disso, a falta de escapamento pode levar a problemas de Stored Cross-Site Scripting.Recomendações
Para versões anteriores à 1.5.1, atualize para a versão 1.5.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à ação AJAX
wpdevart duplicate post parametrs save in db para impedir alterações não autorizadas nas configurações do plugin.Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Duplicate Page/Post