PT-2024-16928 · WordPress · Sms For Lead Capture Forms
Kévin Mosbahi
+1
·
Publicado
2024-12-07
·
Atualizado
2024-12-07
·
CVE-2024-11353
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin SMS for Lead Capture Forms para o WordPress, versões até e incluindo a 1.1.0
Descrição
O problema é causado pela ausência de uma verificação de permissão na função
delete message(), permitindo que invasores autenticados com acesso de nível de Assinante ou superior excluam mensagens arbitrárias. Isso resulta na modificação não autorizada de dados.Recomendações
Para versões até a 1.1.0, inclusive, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na função
delete message().Como solução temporária, considere restringir o acesso à função
delete message() para impedir a modificação não autorizada de dados.Restrinja o acesso de nível de Assinante e superior para minimizar o risco de exploração.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sms For Lead Capture Forms