PT-2024-39727 · WordPress · Teplobot - Telegram Bot For Wp
István Márton
·
Publicado
2024-10-22
·
Atualizado
2024-10-25
·
CVE-2024-9627
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
TeploBot - Plugin Telegram Bot for WP para versões do WordPress até a 1.3, inclusive
Descrição
O problema está relacionado à divulgação de informações confidenciais devido à ausência de verificações de autorização na função
service process. Isso permite que invasores não autenticados visualizem o Telegram Bot Token, um token secreto usado para controlar o bot.Recomendações
Para versões até a 1.3, inclusive, considere desativar a função
service process até que um patch esteja disponível para impedir o acesso não autenticado ao token do bot do Telegram.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Teplobot - Telegram Bot For Wp