PT-2024-15572 · WordPress · Ai Chatbot
Francesco Carlucci
·
Publicado
2024-05-22
·
Atualizado
2025-05-12
·
CVE-2024-0453
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Plugin AI ChatBot para o WordPress, versões até a 5.3.4, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de assinante ou superior excluam arquivos de uma conta OpenAI vinculada, devido à ausência de uma verificação de permissão na função
openai file delete callback. Isso possibilita a modificação não autorizada de dados.Recomendações
Para versões até a 5.3.4, inclusive, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na função
openai file delete callback.Como solução temporária, considere desativar a função
openai file delete callback até que um patch esteja disponível.Correção
Improper Access Control
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ai Chatbot