PT-2024-11594 · WordPress · Woocommerce Multiple Free Gift
Danielius Vargonas
·
Publicado
2024-09-13
·
Atualizado
2024-09-27
·
CVE-2022-3459
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin WooCommerce Multiple Free Gift para o WordPress, versões até a 1.2.3, inclusive
Descrição
O problema decorre do fato de o plugin não realizar verificações no servidor sobre os produtos que podem ser adicionados como presente. Isso permite que invasores não autenticados adicionem itens que não são presentes ao carrinho como se fossem presentes.
Recomendações
Para versões até a 1.2.3, inclusive, atualize para uma versão que implemente verificações do lado do servidor nos produtos de presente para evitar manipulação.
Como solução temporária, considere restringir os tipos de produtos que podem ser adicionados como presentes para minimizar o risco de exploração.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Woocommerce Multiple Free Gift