Podatność CVE-2021-24238
Publikacja: 2021-04-22   Modyfikacja: 2021-04-23

Opis:
The Realteo WordPress plugin before 1.2.4, used by the Findeo Theme, did not ensure that the requested property to be deleted belong to the user making the request, allowing any authenticated users to delete arbitrary properties by tampering with the property_id parameter.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
Realteo WordPress Plugin <= 1.2.3 - Improper Access Control
m0ze
02.04.2021

Typ:

CWE-284

 (Improper Access Control)

CVSS2 => (AV:N/AC:L/Au:S/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4/10
2.9/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Purethemes -> Findeo 
Purethemes -> Realteo 

 Referencje:
https://wpscan.com/vulnerability/b8434eb2-f522-484f-9227-5f581e7f48a5
https://www.docs.purethemes.net/findeo/knowledge-base/changelog-findeo/
https://m0ze.ru/vulnerability/[2021-03-20]-[WordPress]-[CWE-284]-Realteo-WordPress-Plugin-v1.2.3.txt
https://m0ze.ru/vulnerability/[2021-03-20]-[WordPress]-[CWE-284]-Findeo-WordPress-Theme-v1.3.0.txt
Copyright 2024, cxsecurity.com

 

Back to Top