CVE-2024-27955

WordPress Automatic Plugin sérülékenysége
Angol cím: WordPress Automatic Plugin vulnerability

Publikálás dátuma: 2024.03.13.
Utolsó módosítás dátuma: 2024.03.20.


Leírás

A webalkalmazás nem ellenőrzi, vagy nem tudja megfelelően megvizsgálni, hogy a kérést szándékosan küdte-e a felhasználó.

Leírás forrása: CWE-352


Elemzés leírás

Eredeti nyelven: The Automatic plugin for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 3.92.0. This is due to missing or incorrect nonce validation on a function. This makes it possible for unauthenticated attackers to escalate their privileges via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

Elemzés leírás forrása: CVE-2024-27955


Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 8.8 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 2.8


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

wordfence.com

Sérülékeny szoftverek

WordPress Automatic Plugin 3.92.1 előtti verziók


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »