PT-2025-6428 · WordPress · Adirectory
Peter Thaleikis
·
Publicado
2025-02-12
·
Atualizado
2025-02-25
·
CVE-2024-13541
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
aDirectory – Plugin de Listagem de Diretórios para WordPress versões anteriores à 2.3
Descrição
O problema está relacionado a uma verificação de permissão ausente na função
adqs delete listing(), permitindo que atacantes autenticados com acesso de nível de Assinante ou superior excluam posts arbitrários, resultando em perda não autorizada de dados.Recomendações
Para versões anteriores à 2.3, atualize para uma versão que inclua uma correção para a verificação de permissão ausente na função
adqs delete listing().
Como solução temporária, considere restringir o acesso à função adqs delete listing() para prevenir a exclusão não autorizada de posts.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Adirectory