PT-2024-16211 · WordPress · Magical Addons For Elementor
Ankit Patel
·
Publicado
2024-11-09
·
Atualizado
2024-11-12
·
CVE-2024-10352
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Magical Addons For Elementor para o WordPress, versões até a 1.2.4, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível Contribuidor ou superior extraiam dados confidenciais de modelos privados, pendentes e em rascunho por meio da função
get content type no arquivo includes/widgets/content-reveal.php. Isso possibilita que invasores acessem informações confidenciais.Recomendações
Para versões até a 1.2.4, inclusive, atualize o plugin para a versão corrigida mais recente imediatamente para evitar a exposição de informações confidenciais. Como solução temporária, considere restringir o acesso à função
get content type em includes/widgets/content-reveal.php até que uma correção esteja disponível.Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Magical Addons For Elementor