PT-2024-16814 · WordPress · Lock User Account
Francesco Carlucci
·
Publicado
2024-11-20
·
Atualizado
2024-11-21
·
CVE-2024-11197
CVSS v3.1
4.2
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Lock User Account para versões do WordPress até a 1.0.5, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados, possuindo senhas de aplicativo, contornem o bloqueio de contas de usuário, possibilitando-lhes interagir com o site por meio de APIs como XML-RPC ou REST. Isso ocorre porque o plugin permite o login com senha de aplicativo mesmo quando as contas de usuário estão bloqueadas.
Recomendações
Para o plugin Lock User Account para versões do WordPress até a 1.0.5, inclusive, considere desativar os logins com senha de aplicativo para contas bloqueadas como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a pontos de extremidade de API como XML-RPC ou REST para contas bloqueadas, a fim de minimizar o risco de exploração.
Correção
Protection Mechanism Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lock User Account