BDU:2024-04427

Опубликовано: 28 мая 2024

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Средний

Описание

Уязвимость функции postx_presets_callback() плагина PostX системы управления содержимым сайта WordPress связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и получить доступ на чтение, изменение или удаление данных

Вендор

WPXPO

Наименование ПО

PostX

Версия ПО

до 4.1.2 включительно (PostX)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://plugins.trac.wordpress.org/changeset/3093815/

https://wordpress.org/plugins/ultimate-post/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-5326
CVE

EPSS

Процентиль: 98%

0.52926

Средний

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2024-5326

CVSS3: 8.8

nvd

больше 1 года назад

The Post Grid Gutenberg Blocks and WordPress Blog Plugin – PostX plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'postx_presets_callback' function in all versions up to, and including, 4.1.2. This makes it possible for authenticated attackers, with Contributor-level access and above, to change arbitrary options on affected sites. This can be used to enable new user registration and set the default role for new users to Administrator.

EPSS

Процентиль: 98%

0.52926

Средний

8.8 High

CVSS3

9 Critical

CVSS2