PT-2024-14836 · WordPress · Affiliate-Toolkit
Ji Yuchen
·
Publicado
2024-01-01
·
Atualizado
2025-06-03
·
CVE-2023-5877
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin affiliate-toolkit para WordPress, versão 3.4.2 e anteriores
Descrição
O problema está relacionado à falta de autorização e autenticação para solicitações ao endpoint “affiliate-toolkit-starter/tools/atkp imagereceiver.php”, permitindo que visitantes não autenticados façam solicitações a URLs arbitrárias, incluindo endereços privados RFC1918, levando a um problema de falsificação de solicitação do lado do servidor (SSRF).
Recomendações
Para versões anteriores à 3.4.3, atualize para a versão 3.4.3 ou posterior para resolver o problema.
Como solução temporária, considere desativar o acesso ao endpoint “affiliate-toolkit-starter/tools/atkp imagereceiver.php” até que um patch esteja disponível.
Restrinja o acesso ao endpoint para minimizar o risco de exploração.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Affiliate-Toolkit