PT-2024-16401 · WordPress · Wp Travel Engine
Noah Stead
+1
·
Publicado
2024-11-22
·
Atualizado
2025-02-11
·
CVE-2024-10606
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
O plugin WP Travel Engine – Tour Booking Plugin – Tour Operator Software para versões do WordPress anteriores à 6.2.2
Descrição
O problema está relacionado à falta de uma verificação de permissão na função
wpte onboard save function callback(), permitindo que invasores autenticados com acesso de nível de colaborador ou superior modifiquem várias configurações. Isso pode causar impactos como perda de receita e atualizações de página.Recomendações
Para versões até e incluindo a 6.2.1, atualize para a versão 6.2.2 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à função
wpte onboard save function callback() até que um patch esteja disponível.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Travel Engine