PT-2024-39942 · WordPress · Woocommerce Order Proposal
Theo Papaioannou
+1
·
Publicado
2024-10-23
·
Atualizado
2024-10-25
·
CVE-2024-9927
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin WooCommerce Order Proposal para versões do WordPress até e incluindo a 2.0.5
Descrição
O problema se deve à implementação incorreta da função
allow payment without login, permitindo que invasores autenticados com acesso de nível Shop Manager ou superior façam login no WordPress como uma conta de usuário arbitrária, incluindo administradores, por meio da proposta de pedido.Recomendações
Para versões até e incluindo a 2.0.5, atualize para uma versão posterior à 2.0.5 para resolver o problema.
Como solução temporária, considere restringir o acesso à função
allow payment without login até que um patch esteja disponível.Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Woocommerce Order Proposal