PT-2024-17982 · WordPress · Maintenance Page
Francesco Carlucci
·
Publicado
2024-03-13
·
Atualizado
2024-03-13
·
CVE-2024-1370
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Maintenance Page para versões do WordPress até a 1.0.8, inclusive
Descrição
O problema está relacionado ao acesso não autorizado a dados devido à falta de uma verificação de permissão na função
subscribe download, acionada por meio de uma ação AJAX. Isso permite que invasores autenticados, com acesso de assinante ou superior, baixem um arquivo CSV contendo e-mails de assinantes.Recomendações
Para o plugin Maintenance Page para versões do WordPress até e incluindo a 1.0.8, atualize para uma versão superior à 1.0.8 para resolver o problema. Como solução temporária, considere desativar a função
subscribe download até que um patch esteja disponível. Restrinja o acesso à ação AJAX para minimizar o risco de exploração. Evite usar a função afetada no plugin até que o problema seja resolvido.Correção
Improper Access Control
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Maintenance Page