PT-2025-43063 · WordPress · All In One Time Clock Lite
Publicado
2025-10-22
·
Atualizado
2025-10-22
·
CVE-2025-6833
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin All in One Time Clock Lite – Tracking Employee Time Has Never Been Easier para WordPress versões anteriores à 2.1
Descrição
O plugin All in One Time Clock Lite – Tracking Employee Time Has Never Been Easier para WordPress está suscetível a Referência Direta a Objetos Inseguros. Esta falha existe nas versões até e incluindo a 2.0 através da ação AJAX 'aio time clock lite js', decorrente da falta de validação em uma chave controlada pelo usuário. Atacantes autenticados com acesso de assinante ou privilégios superiores podem explorar isso para registrar a entrada ou saída de outros usuários.
Recomendações
Atualize para a versão 2.1 ou posterior.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
All In One Time Clock Lite