PT-2025-7501 · WordPress · Event Tickets/Registration
Audrey François
+1
·
Publicado
2025-02-21
·
Atualizado
2025-02-21
·
CVE-2025-1402
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Plugin Event Tickets and Registration para WordPress, versões até e incluindo a 5.19.1.1
Descrição
O problema está relacionado à falta de uma verificação de permissão na função
ajax ticket delete, permitindo que atacantes autenticados com acesso de nível de Contribuidor ou superior excluam tickets de Participante arbitrários, resultando em perda não autorizada de dados.Recomendações
Para versões até e incluindo a 5.19.1.1, considere desativar a função
ajax ticket delete até que um patch esteja disponível para prevenir a exclusão não autorizada de tickets de Participante. Restrinja o acesso à função ajax ticket delete para minimizar o risco de exploração.Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Event Tickets/Registration