PT-2025-11255 · WordPress · Civi - Job Board & Freelance Marketplace Wordpress Theme
Lucio Sá
·
Publicado
2025-03-14
·
Atualizado
2025-03-27
·
CVE-2024-13772
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas:
O plugin The Civi - Job Board & Freelance Marketplace WordPress Theme para WordPress, versões até a 2.1.4 inclusive.
Descrição:
A falha deve-se à falta de aleatorização de uma senha criada durante o Single Sign-On via Google ou Facebook. Isso possibilita que atacantes não autenticados alterem a senha de quaisquer usuários de nível Candidato, caso o atacante conheça o
username atribuído à vítima durante a criação da conta.Recomendações:
Para versões até a 2.1.4 inclusive, atualize para uma versão que inclua uma correção para esta falha para prevenir bypass de autenticação.
Como solução temporária, considere restringir o acesso ao recurso de Single Sign-On via Google ou Facebook até que um patch esteja disponível.
Correção
Missing Authentication
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Civi - Job Board & Freelance Marketplace Wordpress Theme