PT-2024-16716 · WordPress · Multimanager Wp
Khayal Farzaliyev
+1
·
Publicado
2024-11-13
·
Atualizado
2024-11-19
·
CVE-2024-11028
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin MultiManager WP – Manage All Your WordPress Sites Easily para versões do WordPress até a 1.0.5, inclusive
Descrição
O problema se deve ao recurso de suplantação de identidade do usuário, que determina de forma inadequada o usuário atual por meio de entradas fornecidas pelo usuário, possibilitando que invasores não autenticados gerem um link de suplantação que lhes permitirá fazer login como qualquer usuário existente, como um administrador. O recurso de suplantação de identidade do usuário foi desativado na versão 1.1.0 e reativado com um patch na versão 1.1.2.
Recomendações
Para versões até e incluindo a 1.0.5, atualize para a versão 1.1.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o recurso de representação de usuário até que um patch esteja disponível. Restrinja o acesso ao plugin vulnerável para minimizar o risco de exploração. Evite usar o recurso de representação de usuário no plugin afetado até que o problema seja resolvido.
Correção
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Multimanager Wp