PT-2024-29126 · WordPress · Gutenberg Blocks/Page Layouts – Attire Blocks
Aillesim
+1
·
Publicado
2024-06-05
·
Atualizado
2024-06-11
·
CVE-2024-4088
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Gutenberg Blocks and Page Layouts – plugin Attire Blocks para versões do WordPress até a 1.9.2, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de assinante ou superior modifiquem as configurações do plugin devido à falta de uma verificação de permissão na função
disable fe assets. Além disso, a ausência de uma verificação de nonce resulta em uma vulnerabilidade CSRF, permitindo que invasores alterem as configurações do plugin sem a devida validação.Recomendações
Para versões até a 1.9.2, inclusive, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na função
disable fe assets e implemente uma verificação de nonce para prevenir ataques CSRF.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gutenberg Blocks/Page Layouts – Attire Blocks