PT-2024-38964 · WordPress · Uncanny Groups For Learndash
Karl Emil Nikka
·
Publicado
2024-09-25
·
Atualizado
2024-10-02
·
CVE-2024-8349
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
O plugin Uncanny Groups for LearnDash para o WordPress, nas versões até a 6.1.0.1, inclusive
Descrição:
O problema decorre da falha do plugin em restringir adequadamente quais usuários um líder de grupo pode editar. Isso permite que invasores autenticados com acesso de nível de líder de grupo ou superior alterem os endereços de e-mail das contas de administrador, o que pode levar ao acesso às contas de administrador.
Recomendações:
Para versões até a 6.1.0.1, inclusive, atualize para uma versão que restrinja adequadamente os recursos de edição dos usuários para líderes de grupo.
Como solução temporária, considere restringir o acesso de nível de líder de grupo para evitar possíveis explorações até que um patch esteja disponível.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Uncanny Groups For Learndash