PT-2024-19284 · WordPress · Advanced Classifieds & Directory Pro
Lucio Sá
·
Publicado
2024-04-09
·
Atualizado
2024-04-10
·
CVE-2024-2222
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Advanced Classifieds & Directory Pro para o WordPress, versões até a 3.0.0, inclusive
Descrição
O problema está relacionado à perda não autorizada de dados devido à falta de uma verificação de permissão na função
ajax callback delete attachment. Isso permite que invasores autenticados com acesso de assinante ou superior excluam arquivos de mídia carregados arbitrariamente.Recomendações
Para versões até a 3.0.0, inclusive, atualize para uma versão superior à 3.0.0 para resolver o problema.
Como solução temporária, considere restringir o acesso à função
ajax callback delete attachment para impedir a exclusão não autorizada de arquivos de mídia enviados.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advanced Classifieds & Directory Pro