PT-2025-10562 · WordPress · Gtbabel
Hassan Khan Yusufzai
+1
·
Publicado
2025-03-10
·
Atualizado
2025-03-15
·
CVE-2024-11638
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do plugin Gtbabel para WordPress anteriores à 6.6.9
Descrição
A falha permite que atacantes não autenticados obtenham os cookies de um usuário logado, como os de um administrador, fazendo com que ele abra uma URL manipulada. Isso é possível porque o plugin não verifica se a URL para análise de código pertence ao blog, e a requisição para analisar a URL inclui os cookies do usuário.
Recomendações
Para versões anteriores à 6.6.9, atualize para a versão 6.6.9 ou posterior para corrigir a falha.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gtbabel