PT-2024-28551 · WordPress · Convertkit
1337_Wannabe
+1
·
Publicado
2024-06-21
·
Atualizado
2024-07-17
·
CVE-2024-3961
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
O plugin ConvertKit – Boletim informativo por e-mail, marketing por e-mail, assinantes e páginas de destino para o WordPress, versões até a 2.4.9, inclusive
Descrição
O problema está relacionado à falta de uma verificação de permissão na função
tag subscriber, permitindo que invasores não autenticados inscrevam usuários em tags. Isso pode causar prejuízos financeiros aos proprietários do site caso sua cota de API seja excedida devido a modificações não autorizadas.Recomendações
Para versões até a 2.4.9, inclusive, atualize para uma versão superior à 2.4.9 para resolver o problema.
Como solução temporária, considere desativar a função
tag subscriber até que um patch esteja disponível.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Convertkit