PT-2024-15094 · WordPress · Clickcease Click Fraud Protection
Francesco Carlucci
·
Publicado
2024-05-07
·
Atualizado
2024-05-07
·
CVE-2023-6810
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin ClickCease Click Fraud Protection para o WordPress, versões até a 3.2.4, inclusive
Descrição
O problema decorre de uma verificação inadequada de permissões na função
get settings, permitindo que invasores autenticados com acesso de autor ou superior recuperem as chaves de API configuradas do plugin. Isso possibilita o acesso não autorizado aos dados.Recomendações
Para versões até a 3.2.4, inclusive, atualize para uma versão superior à 3.2.4 para resolver o problema.
Como solução temporária, considere restringir o acesso à função
get settings para impedir a recuperação não autorizada de chaves de API.Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clickcease Click Fraud Protection