PT-2024-11041 · WordPress · Premium Addons For Elementor
Wpscanteam
·
Publicado
2024-10-15
·
Atualizado
2024-10-19
·
CVE-2021-4445
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Premium Addons for Elementor, versões até a 4.5.1, inclusive
Premium Addons for Elementor, versões anteriores a 2e5b3608-1dfc-468f-b3ae-12ce7c25ee6c
Descrição
O problema se deve à falta de verificações de capacidade e nonce na ação AJAX
pa dismiss admin notice, possibilitando que invasores autenticados com permissão de assinante+ alterem opções arbitrárias com um valor restrito de 1 em sites WordPress vulneráveis. Trata-se de uma vulnerabilidade de alta gravidade que afeta várias versões do plugin. Recomenda-se que os usuários atualizem para a versão mais recente imediatamente para mitigar os riscos.Recomendações
Para versões até e incluindo a 4.5.1: atualize para a versão mais recente imediatamente para proteger seu site.
Para versões anteriores a 2e5b3608-1dfc-468f-b3ae-12ce7c25ee6c: atualize para a versão mais recente para proteger seu site.
Como solução temporária, considere desativar a ação AJAX
pa dismiss admin notice até que um patch esteja disponível.Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Premium Addons For Elementor