PT-2025-2124 · WordPress · Woocommerce Customers Manager
Aiden
+1
·
Publicado
2025-02-01
·
Atualizado
2025-03-02
·
CVE-2024-13343
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Plugin WooCommerce Customers Manager para WordPress versões até a 31.3 (inclusive)
Descrição
O problema está relacionado à ausência de uma verificação de permissão na função
ajax assign new roles(), permitindo que atacantes autenticados com acesso de nível de Assinante ou superior elevem seus privilégios para os de um administrador. Isso possibilita que atacantes explorem a falta de verificações adequadas e obtenham acesso de nível superior.Recomendações
Para o plugin WooCommerce Customers Manager para WordPress versões até a 31.3 (inclusive), considere desativar a função
ajax assign new roles() até que uma correção esteja disponível para prevenir o escalonamento de privilégios.
Restrinja o acesso a funções administrativas para minimizar o risco de exploração.Correção
LPE
Improper Privilege Management
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Woocommerce Customers Manager