PT-2024-16593 · WordPress · Buy One Click Woocommerce Plugin
Incognito
+1
·
Publicado
2024-11-12
·
Atualizado
2025-01-17
·
CVE-2024-10854
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin “Buy one click WooCommerce” para versões do WordPress até a 2.2.9, inclusive
Descrição
O problema está relacionado à falta de uma verificação de permissão na ação AJAX
buy one click import options, permitindo que invasores autenticados com acesso de nível “Assinante” ou superior importem configurações do plugin, possibilitando assim a modificação não autorizada de dados.Recomendações
Para o plugin Buy one click WooCommerce para versões do WordPress até a 2.2.9, inclusive, atualize para uma versão posterior à 2.2.9 para mitigar o risco de modificação não autorizada de dados. Como solução temporária, considere restringir o acesso à ação AJAX
buy one click import options para impedir a exploração.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Buy One Click Woocommerce Plugin