PT-2025-11232 · WordPress · Wp Jobhunt
Tonn
·
Publicado
2025-03-14
·
Atualizado
2025-07-08
·
CVE-2024-11283
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Plugin WP JobHunt para WordPress, versões até 7.1 (inclusive)
Descrição:
O problema está relacionado a um bypass de autenticação. Isso se deve ao fato de a função
wp ajax google api login callback não verificar corretamente a identidade do usuário antes de autenticá-lo. Isso possibilita que atacantes não autenticados acessem contas de candidatos arbitrárias.Recomendações:
Para o plugin WP JobHunt para WordPress, versões até 7.1 (inclusive), considere desativar a função
wp ajax google api login callback até que um patch esteja disponível para prevenir a exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wp Jobhunt