PT-2024-39729 · WordPress · Contact Form 7 + Telegram
István Márton
·
Publicado
2024-10-28
·
Atualizado
2024-10-29
·
CVE-2024-9629
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
Nome do software vulnerável e versões afetadas
Plugin Contact Form 7 + Telegram para WordPress, versões até a 0.8.5, inclusive
Descrição
A vulnerabilidade permite que invasores autenticados com acesso de nível de assinante ou superior modifiquem dados e causem perda de dados devido à falta de verificação de permissão na função
wpcf7 Telegram::ajax. Isso permite que eles aprovem, pausem e recusem assinaturas.Recomendações
Para o plugin Contact Form 7 + Telegram para WordPress nas versões até e incluindo a 0.8.5, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na função
wpcf7 Telegram::ajax. Como solução temporária, considere restringir o acesso à função wpcf7 Telegram::ajax para impedir a modificação não autorizada de dados.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Contact Form 7 + Telegram