PT-2024-16361 · WordPress · Wp Project Manager
Noah Stead
+1
·
Publicado
2024-12-19
·
Atualizado
2025-02-05
·
CVE-2024-10548
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin WP Project Manager para versões do WordPress anteriores à 2.6.16
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de Assinante ou superior extraiam dados confidenciais, incluindo senhas com hash dos proprietários de projetos, por meio do endpoint da API REST “/wp-json/pm/v2/projects/1/task-lists”. Isso possibilita que invasores acessem informações confidenciais.
Recomendações
Para o plugin WP Project Manager para versões do WordPress anteriores à 2.6.16, atualize para a versão mais recente para proteger seu site.
Como solução temporária, considere restringir o acesso ao endpoint da API “/wp-json/pm/v2/projects/1/task-lists” para minimizar o risco de exploração.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Project Manager