PT-2025-1770 · Elex · Elex Wordpress Helpdesk & Customer Ticketing System
Thanh Nam Tran
·
Publicado
2025-02-01
·
Atualizado
2025-03-02
·
CVE-2024-12171
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do plugin ELEX WordPress HelpDesk & Customer Ticketing System até a 3.2.6 (inclusive)
Descrição
O problema está relacionado à falta de uma verificação de capacidade na ação AJAX
eh crm agent add user, permitindo que atacantes autenticados com acesso de nível de Assinante ou superior criem novas contas de usuário administrativas. Isso possibilita que os atacantes escalem privilégios.Recomendações
Para as versões do plugin ELEX WordPress HelpDesk & Customer Ticketing System até a 3.2.6 (inclusive), considere desativar a ação AJAX
eh crm agent add user até que uma correção esteja disponível para impedir que atacantes autenticados criem novas contas de usuário administrativas. Restrinja o acesso às funções administrativas para minimizar o risco de exploração.Correção
LPE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elex Wordpress Helpdesk & Customer Ticketing System