PT-2024-38460 · WordPress · Zephyr Project Manager
Wesley
·
Publicado
2024-08-15
·
Atualizado
2025-02-11
·
CVE-2024-7624
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Plugin Zephyr Project Manager para WordPress, versões até a 3.3.101, inclusive
Descrição
O problema está relacionado à escalada limitada de privilégios, pois o plugin não verifica adequadamente as permissões do usuário antes de permitir que ele habilite o acesso às configurações do plugin por meio da função
update user access(). Isso permite que invasores autenticados, com acesso de nível de assinante ou superior, concedam a si mesmos acesso total às configurações do plugin.Recomendações
Para o plugin Zephyr Project Manager para versões do WordPress até a 3.3.101, inclusive:
Como solução temporária, considere desativar a função
update user access() até que um patch esteja disponível.Restrinja o acesso às configurações do plugin para minimizar o risco de exploração.
Evite usar o plugin até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zephyr Project Manager