Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00120

Опубликовано: 07 окт. 2024
Источник: fstec
CVSS3: 8.3
CVSS2: 7.5
EPSS Высокий

Описание

Уязвимость функции etimeclockwp_load_function_callback() плагина Time Clock системы управления содержимым сайта WordPress связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

WordPress Foundation

Наименование ПО

Time Clock

Версия ПО

до 1.2.2 включительно (Time Clock)
Pro до 1.1.4 включительно (Time Clock)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://plugins.trac.wordpress.org/changeset/3171046/time-clock#file40
https://www.wordfence.com/threat-intel/vulnerabilities/id/247e599a-74e2-41d5-a1ba-978a807e6544?source=cve
https://wordpress.org/plugins/time-clock/
https://wpplugin.org/downloads/time-clock-pro/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.80098
Высокий

8.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-9593

CVSS3: 8.3
nvd
больше 1 года назад

The Time Clock plugin and Time Clock Pro plugin for WordPress are vulnerable to Remote Code Execution in versions up to, and including, 1.2.2 (for Time Clock) and 1.1.4 (for Time Clock Pro) via the 'etimeclockwp_load_function_callback' function. This allows unauthenticated attackers to execute code on the server. The invoked function's parameters cannot be specified.

github логотип

GHSA-7p23-xhhw-3gg3

CVSS3: 8.3
github
больше 1 года назад

The Time Clock plugin and Time Clock Pro plugin for WordPress are vulnerable to Remote Code Execution in versions up to, and including, 1.2.2 (for Time Clock) and 1.1.4 (for Time Clock Pro) via the 'etimeclockwp_load_function_callback' function. This allows unauthenticated attackers to execute code on the server. The invoked function's parameters cannot be specified.

EPSS

Процентиль: 99%
0.80098
Высокий

8.3 High

CVSS3

7.5 High

CVSS2