PT-2024-37721 · Aura+1 · Aura+1
Matthew Rollings
+1
·
Publicado
2024-07-16
·
Atualizado
2024-07-16
·
CVE-2024-6565
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
AForms — plugin Form Builder for Price Calculator & Cost Estimation para versões do WordPress até a 2.2.6, inclusive
Descrição
O problema está relacionado à Divulgação do Caminho Completo, que ocorre devido ao plugin utilizar a biblioteca aura e permitir acesso direto aos arquivos de teste do phpunit. Isso permite que invasores não autenticados recuperem o caminho completo da aplicação web, o que pode facilitar outros ataques. No entanto, as informações exibidas não são úteis por si só e requerem a presença de outra vulnerabilidade para causar danos a um site afetado.
Recomendações
Para versões até a 2.2.6, inclusive, atualize para uma versão que corrija este problema, pois a versão atual permite acesso direto a arquivos confidenciais, potencialmente facilitando novos ataques.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Arforms
Aura