PT-2024-30758 · WordPress · Slider/Carousel Slider By Depicter
Arkadiusz Hydzik
·
Publicado
2024-06-20
·
Atualizado
2024-07-17
·
CVE-2024-4390
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
O plugin “Slider and Carousel” da Depicter para o WordPress, nas versões até a 3.0.2, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de colaborador ou superior gerem um nonce válido para qualquer ação ou função do WordPress. Isso poderia ser usado para acionar funcionalidades protegidas apenas por verificações de nonce.
Recomendações
Para versões até a 3.0.2, inclusive, atualize para uma versão que corrija o problema de geração arbitrária de nonce para evitar a exploração.
Como solução temporária, considere restringir o acesso de colaboradores e níveis superiores para minimizar o risco de exploração.
Correção
Incorrect Authorization
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Slider/Carousel Slider By Depicter