PT-2024-38427 · WordPress · Relevanssi Live Ajax Search
Mikko Saari
+1
·
Publicado
2024-08-27
·
Atualizado
2024-08-28
·
CVE-2024-7573
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Relevanssi Live Ajax Search para versões do WordPress até a 2.4, inclusive
Descrição
O problema se deve à validação insuficiente dos dados fornecidos via POST na função
search, permitindo que invasores não autenticados injetem argumentos arbitrários em uma consulta WP Query e, potencialmente, exponham informações confidenciais, como anexos ou publicações privadas.Recomendações
Para o plugin Relevanssi Live Ajax Search para versões do WordPress até a 2.4, inclusive, atualize para uma versão superior à 2.4 para resolver o problema.
Como solução temporária, considere desativar a função
search até que um patch esteja disponível.Restrinja o acesso à consulta WP Query para minimizar o risco de exploração.
Evite usar o plugin Relevanssi Live Ajax Search até que o problema seja resolvido.
Correção
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Relevanssi Live Ajax Search