PT-2024-15146 · Kadence Blocks · The Gutenberg Blocks By Kadence Blocks
Lucio Sá
·
Publicado
2024-04-09
·
Atualizado
2024-04-10
·
CVE-2023-6964
CVSS v3.1
8.5
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
O plugin “Gutenberg Blocks by Kadence Blocks – Page Builder Features” para versões do WordPress até a 3.1.26, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de colaborador ou superior realizem solicitações web para locais arbitrários originadas da aplicação web por meio da ação AJAX
kadence import get new connection data. Isso pode ser usado para consultar e modificar informações de serviços internos.Recomendações
Para versões até a 3.1.26, inclusive, atualize para uma versão superior à 3.1.26 para resolver o problema.
Como solução temporária, considere desativar a ação AJAX
kadence import get new connection data até que um patch esteja disponível.Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Gutenberg Blocks By Kadence Blocks