PT-2024-17423 · WordPress · Events Addon For Elementor
Francesco Carlucci
·
Publicado
2024-12-18
·
Atualizado
2024-12-18
·
CVE-2024-12061
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin “Events Addon for Elementor” para o WordPress, versões até a 2.2.3, inclusive
Descrição
O problema diz respeito a restrições insuficientes sobre quais publicações podem ser incluídas por meio do shortcode
naevents elementor template. Isso permite que invasores autenticados com acesso de nível Contribuidor ou superior extraiam dados de publicações privadas ou rascunhos criados pelo Elementor aos quais não deveriam ter acesso.Recomendações
Para versões até a 2.2.3, inclusive, atualize para uma versão superior à 2.2.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao shortcode
naevents elementor template para minimizar o risco de exploração.Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Events Addon For Elementor