PT-2024-39820 · WordPress · Order Attachments For Woocommerce
Lucky_Noob
·
Publicado
2024-10-12
·
Atualizado
2024-11-25
·
CVE-2024-9756
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin “Order Attachments for WooCommerce” para o WordPress, versões 2.0 a 2.4.1
Descrição
O problema está relacionado a uploads arbitrários limitados não autorizados de arquivos, devido à falta de verificação de permissão na ação AJAX “wcoa add attachment”. Isso permite que invasores autenticados com acesso de nível de assinante ou superior façam upload de tipos de arquivos limitados.
Recomendações
Para as versões 2.0 a 2.4.1, atualize para uma versão que inclua uma correção para a falta de verificação de permissão na ação AJAX “wcoa add attachment”.
Como solução temporária, considere restringir o acesso à ação AJAX “wcoa add attachment” para impedir uploads não autorizados de arquivos até que um patch esteja disponível.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Order Attachments For Woocommerce