PT-2025-10049 · Unknown · Uipress Lite
Dale Mavers
+1
·
Publicado
2025-03-07
·
Atualizado
2025-03-08
·
CVE-2025-1309
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do UiPress lite até a 3.5.04 (inclusive)
Descrição
A falha permite a modificação não autorizada de dados, potencialmente resultando em escalonamento de privilégios, devido à ausência de uma verificação de capacidade na função
uip save form as option(). Isso possibilita que atacantes autenticados com acesso de nível Subscriber ou superior atualizem opções arbitrárias no site WordPress, o que pode ser utilizado para obter acesso de administrador.Recomendações
Para versões até a 3.5.04 (inclusive), considere desativar a função
uip save form as option() até que uma correção esteja disponível para prevenir a modificação não autorizada de dados. Restrinja o acesso a opções e configurações sensíveis para minimizar o risco de exploração.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Uipress Lite