Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2020-4050

Опубликовано: 12 июн. 2020
Источник: nvd
CVSS3: 3.5
CVSS3: 3.1
CVSS2: 6
EPSS Низкий

Описание

In affected versions of WordPress, misuse of the set-screen-option filter's return value allows arbitrary user meta fields to be saved. It does require an admin to install a plugin that would misuse the filter. Once installed, it can be leveraged by low privileged users. This has been patched in version 5.4.2, along with all the previously affected versions via a minor release (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 3.7 (включая) до 3.7.34 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 3.8 (включая) до 3.8.34 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 3.9 (включая) до 3.9.32 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.0 (включая) до 4.0.31 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.1 (включая) до 4.1.31 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.2 (включая) до 4.2.28 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.3 (включая) до 4.3.24 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.4 (включая) до 4.4.23 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.5 (включая) до 4.5.22 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.6 (включая) до 4.6.19 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.7 (включая) до 4.7.18 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.8 (включая) до 4.8.14 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 4.9 (включая) до 4.9.15 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.0 (включая) до 5.0.10 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.1 (включая) до 5.1.6 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.2 (включая) до 5.2.7 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.3.0 (включая) до 5.3.4 (исключая)
cpe:2.3:a:wordpress:wordpress:*:*:*:*:*:*:*:*
Версия от 5.4 (включая) до 5.4.2 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

EPSS

Процентиль: 84%
0.02153
Низкий

3.5 Low

CVSS3

3.1 Low

CVSS3

6 Medium

CVSS2

Дефекты

CWE-288

Связанные уязвимости

ubuntu логотип

CVE-2020-4050

CVSS3: 3.5
ubuntu
около 5 лет назад

In affected versions of WordPress, misuse of the `set-screen-option` filter's return value allows arbitrary user meta fields to be saved. It does require an admin to install a plugin that would misuse the filter. Once installed, it can be leveraged by low privileged users. This has been patched in version 5.4.2, along with all the previously affected versions via a minor release (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34).

debian логотип

CVE-2020-4050

CVSS3: 3.5
debian
около 5 лет назад

In affected versions of WordPress, misuse of the `set-screen-option` f ...

fstec логотип

BDU:2020-03983

CVSS3: 7.5
fstec
около 5 лет назад

Уязвимость системы управления содержимым сайта WordPress, связанная с обходом аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

EPSS

Процентиль: 84%
0.02153
Низкий

3.5 Low

CVSS3

3.1 Low

CVSS3

6 Medium

CVSS2

Дефекты

CWE-288