Podatność nieprawidłowego przypisania uprawnień w pluginie Modular DS dla WordPress umożliwia atakującemu privilege escalation. Otrzymała maksymalny wynik CVSS 10.0, co wskazuje na krytyczny poziom zagrożenia bez wymagania jakiejkolwiek autoryzacji.
▸ Pokaż oryginał (EN)
Incorrect Privilege Assignment vulnerability in Modular DS modular-connector allows Privilege Escalation.This issue affects Modular DS: from 2.5.2 before 2.6.0.
Błąd sklasyfikowany jako CWE-266 (Incorrect Privilege Assignment) polega na nieprawidłowym przypisywaniu uprawnień w obrębie pluginu modular-connector. Atakujący zdalny, nieuwierzytelniony użytkownik może wykorzystać tę nieprawidłowość do uzyskania wyższych uprawnień niż te, które powinny mu przysługiwać. Wektor ataku sieciowy bez wymagań co do uwierzytelnienia lub interakcji użytkownika czyni podatność łatwą do wykorzystania.
Atakujący może przeprowadzić privilege escalation, potencjalnie uzyskując pełną kontrolę nad zasobami systemu WordPress — w tym danymi, konfiguracją oraz innymi użytkownikami — przy pełnym wpływie na poufność, integralność i dostępność.
Należy niezwłocznie zaktualizować plugin Modular DS do wersji 2.6.0 lub nowszej. Szczegóły dotyczące patcha dostępne są w bazie Patchstack pod adresem wskazanym w referencjach.
Plugin WordPress Modular DS (modular-connector) w wersjach od 2.5.2 (włącznie) do 2.6.0 (wyłącznie).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H