Podatność CVE-2022-1329

Podatność CVE-2022-1329

Publikacja: 2022-04-19

Opis:

The Elementor Website Builder plugin for WordPress is vulnerable to unauthorized execution of several AJAX actions due to a missing capability check in the ~/core/app/modules/onboarding/module.php file that make it possible for attackers to modify site data in addition to uploading malicious files that can be used to obtain remote code execution, in versions 3.6.0 to 3.6.2.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:

	Tytuł	Autor	Data
High	WordPress Elementor 3.6.2 Remote Code Execution	Ramuel Gall	17.04.2022

Typ:

CWE-862

(Missing Authorization)

CVSS2 => (AV:N/AC:L/Au:S/C:P/I:P/A:P)

Ogólna skala CVSS	Znaczenie	Łatwość wykorzystania
6.5/10	6.4/10	8/10

Wymagany dostęp	Złożoność ataku	Autoryzacja
Zdalny	Niska	Jednorazowa
Wpływ na poufność	Wpływ na integralność	Wpływ na dostępność
Częściowy	Częściowy	Częściowy

Affected software
Elementor -> Elementor website builder

Referencje:

https://plugins.trac.wordpress.org/changeset/2708766/elementor/trunk/core/app/modules/onboarding/module.php

https://www.wordfence.com/blog/2022/04/elementor-critical-remote-code-execution-vulnerability/

https://www.pluginvulnerabilities.com/2022/04/12/5-million-install-wordpress-plugin-elementor-contains-authenticated-remote-code-execution-rce-vulnerability/

Podatność CVE-2022-1329

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:

High

WordPress Elementor 3.6.2 Remote Code Execution

CWE-862

CVSS2 => (AV:N/AC:L/Au:S/C:P/I:P/A:P)

6.5/10

6.4/10

8/10

Zdalny

Niska

Jednorazowa

Częściowy

Częściowy

Częściowy

Affected software

Referencje: