PT-2024-15733 · WordPress · Advanced Database Cleaner
Richard Telleng
+1
·
Publicado
2024-02-05
·
Atualizado
2024-02-13
·
CVE-2024-0668
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Advanced Database Cleaner para versões do WordPress até a 3.1.3, inclusive
Descrição
A vulnerabilidade permite que um invasor autenticado com acesso de administrador ou superior injete um objeto PHP por meio da desserialização de entradas não confiáveis na função
process bulk action. Se houver uma cadeia POP por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.Recomendações
Para versões até a 3.1.3, inclusive, atualize para uma versão que corrija a vulnerabilidade de injeção de objeto PHP para evitar a exploração. Como solução temporária, considere restringir o acesso à função
process bulk action até que um patch esteja disponível.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advanced Database Cleaner