PT-2024-39328 · WordPress · Latepoint
István Márton
·
Publicado
2024-10-08
·
Atualizado
2026-04-08
·
CVE-2024-8943
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Plugin LatePoint para versões do WordPress até a 5.0.12, inclusive
Descrição:
O problema está relacionado à verificação insuficiente do usuário fornecido durante a etapa de reserva do cliente, permitindo que invasores não autenticados façam login como qualquer usuário existente no site, como um administrador, caso tenham acesso ao
user id. Isso só é possível se a configuração “Usar usuários do WordPress como clientes” estiver ativada, o que é desativado por padrão.Recomendações:
Para versões até a 5.0.12, inclusive, atualize para a versão 5.0.13 para corrigir totalmente o problema.
Como solução temporária, considere desativar a configuração “Usar usuários do WordPress como clientes” para minimizar o risco de exploração.
Restrinja o acesso à etapa de reserva do cliente para impedir o acesso não autorizado até que o problema seja resolvido.
Correção
Authentication Bypass Using an Alternate Path or Channel
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Latepoint