Уязвимость отправки платных уведомлений и получения доступа к конфиденциальной информации администраторов в плагине Amelia для WordPress
Описание
Плагин Amelia для WordPress не имеет корректной авторизации при работе с сервисом Amelia SMS, что позволяет любому пользователю отправлять платные тестовые SMS-уведомления, а также получать конфиденциальную информацию об администраторе, такую как адрес электронной почты, баланс аккаунта и историю платежей. Злоумышленник способен использовать эту уязвимость для исчерпания баланса аккаунта, отправляя SMS-уведомления.
Затронутые версии ПО
- Amelia для WordPress версии до 1.0.48
Тип уязвимости
- Неавторизованный доступ
- Утечка данных
Ссылки
- ExploitThird Party Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
EPSS
5.4 Medium
CVSS3
5.5 Medium
CVSS2
Дефекты
Связанные уязвимости
The Amelia WordPress plugin before 1.0.48 does not have proper authorisation when handling Amelia SMS service, allowing any customer to send paid test SMS notification as well as retrieve sensitive information about the admin, such as the email, account balance and payment history. A malicious actor can abuse this vulnerability to drain out the account balance by keep sending SMS notification.
EPSS
5.4 Medium
CVSS3
5.5 Medium
CVSS2