PT-2024-38035 · WordPress · Woocommerce Pdf Vouchers
István Márton
·
Publicado
2024-07-24
·
Atualizado
2024-07-24
·
CVE-2024-7027
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
WooCommerce - plugin PDF Vouchers para versões do WordPress até a 4.9.3, inclusive
Descrição
O problema está relacionado à contornamento da autenticação devido à verificação insuficiente do usuário durante um login por código QR. Isso permite que invasores não autenticados façam login como qualquer usuário existente do Voucher Vendor, caso tenham acesso ao
user id.Recomendações
Para versões até a 4.9.3, inclusive, atualize para uma versão superior à 4.9.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao recurso de login por código QR até que um patch esteja disponível. Evite usar o
user id no processo de login afetado para minimizar o risco de exploração.Correção
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Woocommerce Pdf Vouchers