PT-2026-39508 · WordPress · Thecartpress
Spacehen
·
Publicado
2026-05-10
·
Atualizado
2026-05-10
·
CVE-2021-47932
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
TheCartPress versão 1.5.3.6
Description
Uma escalada de privilégios não autenticada permite que invasores criem contas de administrador enviando solicitações manipuladas ao manipulador AJAX. Invasores podem enviar solicitações POST para a ação 'tcp register and login ajax' com a variável
tcp role definida como administrator para obter acesso administrativo total sem autenticação.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
LPE
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Thecartpress