PT-2024-17540 · WordPress · Print Science Designer
Brian Sans-Souci
+1
·
Publicado
2024-12-12
·
Atualizado
2024-12-12
·
CVE-2024-12312
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Print Science Designer para WordPress, versões até e incluindo a 1.3.152
Descrição
O problema diz respeito a uma vulnerabilidade de injeção de objeto PHP no plugin Print Science Designer para WordPress. Essa vulnerabilidade surge da desserialização de entradas não confiáveis por meio do cookie
designer-saved-projects, permitindo que invasores não autenticados injetem um objeto PHP. Não há nenhuma cadeia POP conhecida presente no software vulnerável. No entanto, se houver uma cadeia POP por meio de um plugin ou tema adicional instalado no sistema alvo, isso poderia permitir que o invasor exclua arquivos arbitrários, recupere dados confidenciais ou execute código.Recomendações
Para versões até e incluindo a 1.3.152, atualize para uma versão posterior à 1.3.152 para resolver o problema.
Como solução temporária, considere restringir o acesso ao cookie
designer-saved-projects para minimizar o risco de exploração.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Print Science Designer