Уязвимость BDU:2024-11260

Идентификатор: BDU:2024-11260.
Наименование уязвимости: Уязвимость функции wpforms_is_admin_page() плагина WPForms системы управления содержимым сайта WordPress, позволяющая нарушителю получить несанкционированный доступ на чтение и изменение данных.
Описание уязвимости: Уязвимость функции wpforms_is_admin_page() плагина WPForms системы управления содержимым сайта WordPress связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ на чтение и изменение данны
Уязвимое ПО: Прикладное ПО информационных систем WPForms, LLC. WPForms от 1.8.4 до 1.9.2.1 включительно |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 14.11.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,5)
Возможные меры по устранению:
Использование рекомендаций:
https://wordpress.org/plugins/wpforms-lite/
https://plugins.trac.wordpress.org/browser/wpforms-lite/tags/1.9.2.2.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-11205.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://wordpress.org/plugins/tutor/
https://plugins.trac.wordpress.org/browser/wpforms-lite/tags/1.9.2.1/includes/functions/checks.php#L191
https://plugins.trac.wordpress.org/browser/wpforms-lite/tags/1.9.2.1/src/Integrations/Stripe/Admin/Payments/SingleActionsHandler.php#L148
https://plugins.trac.wordpress.org/browser/wpforms-lite/tags/1.9.2.1/src/Integrations/Stripe/Admin/Payments/SingleActionsHandler.php#L92
https://plugins.trac.wordpress.org/changeset/3191229/wpforms-lite#file2128
https://nvd.nist.gov/vuln/detail/CVE-2024-11205
https://vuldb.com/?id.287453



