PT-2024-15087 · WordPress · Wp Reset – Most Advanced Wordpress Reset Tool
Justin Kennedy
·
Publicado
2024-04-09
·
Atualizado
2024-05-10
·
CVE-2023-6799
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
O plugin WP Reset – Most Advanced WordPress Reset Tool para versões do WordPress até a 2.0, inclusive
Descrição
A vulnerabilidade permite que invasores não autenticados extraiam dados confidenciais, incluindo backups do site, por meio de ataques de força bruta aos nomes dos arquivos de snapshot, devido à aleatoriedade insuficiente desses nomes. O fornecedor não planeja realizar nenhum reforço adicional de segurança nessa funcionalidade.
Recomendações
Para versões até a 2.0, inclusive, considere desativar a funcionalidade de instantâneos até que uma alternativa mais segura esteja disponível, já que o fornecedor não planeja lançar melhorias de segurança adicionais para esse recurso.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Reset – Most Advanced Wordpress Reset Tool