PT-2024-39510 · WordPress · Mapster Wp Maps
Sean Murphy
·
Publicado
2024-10-25
·
Atualizado
2024-11-05
·
CVE-2024-9235
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Mapster WP Maps para o WordPress, versões até a 1.5.0, inclusive
Descrição
A vulnerabilidade permite a modificação não autorizada de dados, podendo levar à escalada de privilégios, devido a uma verificação insuficiente de permissões na função
mapster wp maps set option from js(). Isso permite que invasores autenticados com acesso de nível de colaborador ou superior atualizem opções arbitrárias no site WordPress, o que pode ser usado para obter acesso de usuário administrativo.Recomendações
Para o plugin Mapster WP Maps para versões do WordPress até a 1.5.0, inclusive, atualize para uma versão superior à 1.5.0 para resolver o problema. Como solução temporária, considere restringir o acesso à função
mapster wp maps set option from js() até que um patch esteja disponível.Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mapster Wp Maps