PT-2024-16135 · WordPress · Relais 2Fa
István Márton
·
Publicado
2024-11-12
·
Atualizado
2024-11-17
·
CVE-2024-10245
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Relais 2FA para versões do WordPress até a 1.0, inclusive
Descrição
O problema se deve a uma verificação incorreta de autenticação e permissões na função
rl do ajax, permitindo que invasores não autenticados façam login como qualquer usuário existente no site, como um administrador, caso tenham acesso ao e-mail.Recomendações
Para o plugin Relais 2FA para versões do WordPress até a 1.0, inclusive, considere desativar a função
rl do ajax como uma solução temporária até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Relais 2Fa