PT-2024-33196 · WordPress · The Bricks Builder
Francesco Carlucci
·
Publicado
2024-06-21
·
Atualizado
2024-06-24
·
CVE-2024-4874
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
O plugin Bricks Builder para versões do WordPress até a 1.9.8, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível Contribuidor ou superior modifiquem posts e páginas criadas por outros usuários, incluindo administradores, devido à falta de validação de uma chave controlada pelo usuário por meio do parâmetro
postId. Isso é possível se um administrador habilitar o acesso ao editor especificamente para tal usuário ou habilitá-lo para todos os usuários com um determinado tipo de conta.Recomendações
Para o plugin The Bricks Builder para versões do WordPress até a 1.9.8, inclusive:
Atualize para uma versão posterior à 1.9.8 para resolver a vulnerabilidade.
Como solução temporária, considere restringir o acesso ao editor para usuários com acesso de nível Contribuidor ou superior, a fim de minimizar o risco de exploração.
Certifique-se de que as funções dos usuários sejam rigidamente controladas para impedir modificações não autorizadas.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
The Bricks Builder