Уязвимость управления записями в плагине Amelia для WordPress, позволяющая изменять статусы чужих записей и получать личную информацию
Описание
Плагин Amelia для WordPress до версии 1.0.49 не имеет корректной авторизации при управлении записями. Это позволяет любому пользователю изменять статус чужой записи, а также получать конфиденциальную информацию о записях, такую как полное имя и номер телефона забронировавшего.
Затронутые версии ПО
- Amelia для WordPress до версии 1.0.49
Тип уязвимости
- Некорректная авторизация
- Утечка конфиденциальной информации
Ссылки
- PatchThird Party Advisory
- ExploitThird Party Advisory
- PatchThird Party Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
EPSS
5.4 Medium
CVSS3
5.5 Medium
CVSS2
Дефекты
Связанные уязвимости
The Amelia WordPress plugin before 1.0.49 does not have proper authorisation when managing appointments, allowing any customer to update other's booking status, as well as retrieve sensitive information about the bookings, such as the full name and phone number of the person who booked it.
EPSS
5.4 Medium
CVSS3
5.5 Medium
CVSS2