PT-2024-12465 · WordPress · The Bricks
Ram
+1
·
Publicado
2024-08-17
·
Atualizado
2024-09-13
·
CVE-2023-3408
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
O tema Bricks para versões do WordPress até a 1.8.1, inclusive
Descrição
O problema se deve à falta ou incorreção da validação do nonce na função
save settings, possibilitando que invasores não autenticados modifiquem as configurações do tema. Isso inclui ativar uma configuração que permite que usuários com privilégios mais baixos, como colaboradores, executem código por meio de uma solicitação falsificada, desde que consigam induzir um administrador do site a realizar uma ação como clicar em um link.Recomendações
Para versões até a 1.8.1, inclusive, atualize para uma versão que inclua a correção para a validação de nonce ausente ou incorreta na função
save settings. Como solução temporária, considere desativar a função save settings até que um patch esteja disponível para impedir a modificação das configurações do tema por invasores não autenticados.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Bricks