PT-2024-36843 · WordPress · Cf7 Google Sheets Connector
1337_Wannabe
+1
·
Publicado
2024-06-08
·
Atualizado
2024-11-01
·
CVE-2024-5654
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin CF7 Google Sheets Connector para o WordPress, versões até a 5.0.9, inclusive
Descrição
O problema está relacionado à falta de uma verificação de permissão na função
execute post data cg7 free, permitindo que invasores não autenticados modifiquem dados. Isso possibilita que invasores alterem as configurações do site, incluindo WP DEBUG, WP DEBUG LOG, SCRIPT DEBUG e SAVEQUERIES.Recomendações
Para o plugin CF7 Google Sheets Connector para versões do WordPress até a 5.0.9, inclusive, atualize para uma versão superior à 5.0.9 para resolver o problema. Como solução temporária, considere desativar a função
execute post data cg7 free até que um patch esteja disponível. Restrinja o acesso às configurações do site para minimizar o risco de exploração. Evite usar a função vulnerável em contextos não autenticados até que o problema seja resolvido.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cf7 Google Sheets Connector