PT-2024-38575 · WordPress · Jupiter X Core
Geo Void
·
Publicado
2024-09-25
·
Atualizado
2024-10-02
·
CVE-2024-7781
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jupiter X Core para WordPress, versões até a 4.7.5, inclusive
Descrição
O plugin Jupiter X Core para WordPress está vulnerável a um desvio de autenticação devido a uma autenticação incorreta por meio do widget de login social. Isso permite que invasores não autenticados façam login como o primeiro usuário a ter feito login com uma conta de rede social, incluindo contas de administrador. A vulnerabilidade pode ser explorada mesmo que o elemento Social Login tenha sido desativado, desde que tenha sido previamente ativado e utilizado. O plugin foi parcialmente corrigido na versão 4.7.5 e totalmente corrigido na versão 4.7.8.
Recomendações
Para versões até a 4.7.5, inclusive, atualize para a versão 4.7.8 para corrigir totalmente a vulnerabilidade.
Como solução temporária, considere desativar o widget Social Login até que uma correção esteja disponível.
Restrinja o acesso ao elemento Social Login para minimizar o risco de exploração.
Correção
Missing Authentication
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jupiter X Core