Krytyczna podatność typu privilege escalation w wtyczce WordPress 'Custom API for WP' autorstwa miniOrange pozwala zalogowanemu użytkownikowi o niskich uprawnieniach na nieautoryzowane podwyższenie swoich uprawnień w systemie. Ze względu na wynik CVSS 9.9 i zmieniony zakres oddziaływania (Scope: Changed), podatność stanowi poważne zagrożenie dla bezpieczeństwa witryn WordPress.
▸ Pokaż oryginał (EN)
Incorrect Privilege Assignment vulnerability in miniOrange Custom API for WP custom-api-for-wp allows Privilege Escalation.This issue affects Custom API for WP: from n/a through <= 4.2.2.
Podatność wynika z nieprawidłowego przypisania uprawnień (CWE-266) w kodzie wtyczki Custom API for WP w wersjach do 4.2.2 włącznie. Uwierzytelniony atakujący z minimalnymi uprawnieniami może wykorzystać błędną logikę kontroli dostępu udostępnioną przez wtyczkę, aby uzyskać wyższe uprawnienia niż mu przysługują. Wektor sieciowy (AV:N) i brak wymagań co do złożoności ataku (AC:L) oraz interakcji użytkownika (UI:N) sprawiają, że exploit można przeprowadzić zdalnie w prosty sposób.
Atakujący może uzyskać podwyższone uprawnienia w obrębie witryny lub środowiska WordPress, co w praktyce może oznaczać przejęcie pełnej kontroli administracyjnej nad serwisem, modyfikację treści, kradzież danych użytkowników lub dalsze kompromitowanie infrastruktury.
Należy jak najszybciej zaktualizować wtyczkę Custom API for WP do wersji wyższej niż 4.2.2. Szczegóły dotyczące wersji naprawionej dostępne są w bazie Patchstack oraz w repozytorium WordPress. Jeśli aktualizacja nie jest natychmiast możliwa, należy rozważyć dezaktywację wtyczki do czasu wdrożenia patcha.
Wtyczka WordPress 'Custom API for WP' autorstwa miniOrange w wersjach od n/a do 4.2.2 włącznie.
Podatność została zgłoszona i udokumentowana przez Patchstack. Wpis w bazie Patchstack wskazuje na wersję 4.2.2 jako ostatnią podatną.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H