PT-2024-30120 · WordPress · Essential Real Estate
Lucio Sá
·
Publicado
2024-06-03
·
Atualizado
2024-06-04
·
CVE-2024-4274
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
O plugin Essential Real Estate para o WordPress, versões até a 4.4.2, inclusive
Descrição
O problema está relacionado à validação insuficiente na função
remove property attachment ajax(), permitindo que invasores autenticados com acesso de nível de assinante ou superior excluam anexos arbitrários, resultando em perda não autorizada de dados.Recomendações
Para versões até a 4.4.2, inclusive, considere desativar a função
remove property attachment ajax() até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à função remove property attachment ajax() para minimizar o risco de perda não autorizada de dados.Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Essential Real Estate