PT-2024-20908 · WordPress · Permalink Manager Lite
Muhammad Zeeshan
+1
·
Publicado
2024-03-19
·
Atualizado
2025-02-05
·
CVE-2024-2538
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Plugin Permalink Manager Lite para versões do WordPress até a 2.4.3.1, inclusive
Descrição
O problema decorre da falta de uma verificação de permissão na função
ajax save permalink, permitindo que invasores autenticados com acesso de autor ou superior modifiquem os permalinks de publicações arbitrárias. Isso possibilita a modificação não autorizada de dados.Recomendações
Para o plugin Permalink Manager Lite para versões do WordPress até a 2.4.3.1, inclusive, considere desativar a função
ajax save permalink até que um patch esteja disponível para impedir a modificação não autorizada de permalinks. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração, especialmente para usuários com acesso de autor ou superior.Exploit
Correção
IDOR
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Permalink Manager Lite