Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11260

Опубликовано: 14 нояб. 2024
Источник: fstec
CVSS3: 8.5
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость функции wpforms_is_admin_page() плагина WPForms системы управления содержимым сайта WordPress связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ на чтение и изменение данны

Вендор

WPForms, LLC.

Наименование ПО

WPForms

Версия ПО

от 1.8.4 до 1.9.2.1 включительно (WPForms)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://wordpress.org/plugins/wpforms-lite/
https://plugins.trac.wordpress.org/browser/wpforms-lite/tags/1.9.2.2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 66%
0.00518
Низкий

8.5 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-11205

CVSS3: 8.5
nvd
около 1 года назад

The WPForms plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'wpforms_is_admin_page' function in versions starting from 1.8.4 up to, and including, 1.9.2.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to refund payments and cancel subscriptions.

github логотип

GHSA-w65x-762v-xpf6

CVSS3: 8.5
github
около 1 года назад

The WPForms plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'wpforms_is_admin_page' function in versions starting from 1.8.4 up to, and including, 1.9.2.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to refund payments and cancel subscriptions.

EPSS

Процентиль: 66%
0.00518
Низкий

8.5 High

CVSS3

7.5 High

CVSS2