PT-2024-16930 · WordPress · The Ultimate Youtube Video & Shorts Player With Vimeo
Kévin Mosbahi
+1
·
Publicado
2024-11-21
·
Atualizado
2024-11-22
·
CVE-2024-11355
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
O plugin “The Ultimate YouTube Video & Shorts Player With Vimeo” para o WordPress, versões até a 3.3, inclusive
Descrição
O problema está relacionado ao acesso não autorizado a dados devido à ausência de uma verificação de permissão na função
get setting(). Isso permite que invasores autenticados com acesso de nível “Assinante” ou superior visualizem as configurações das listas de reprodução.Recomendações
Para versões até a 3.3, inclusive, atualize para uma versão que inclua uma verificação de permissão na função
get setting() para impedir o acesso não autorizado.Como solução temporária, considere restringir o acesso à função
get setting() até que um patch esteja disponível.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Ultimate Youtube Video & Shorts Player With Vimeo