Podatność umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień w pluginie WordPress Datalogics Ecommerce Delivery w wersjach do 2.6.62 włącznie. Krytyczny poziom zagrożenia wynika z braku wymogu jakiejkolwiek autoryzacji do przeprowadzenia ataku.
▸ Pokaż oryginał (EN)
Unauthenticated Privilege Escalation in Datalogics Ecommerce Delivery <= 2.6.62 versions.
Podatność sklasyfikowana jako CWE-266 (Incorrect Privilege Assignment) polega na nieprawidłowym przypisywaniu uprawnień w pluginie. Atakujący bez żadnego uwierzytelnienia może wywołać określoną funkcjonalność pluginu, która skutkuje nadaniem mu wyższych uprawnień niż powinien posiadać. Brak mechanizmów kontroli dostępu pozwala na przeprowadzenie ataku zdalnie, bez interakcji użytkownika.
Atakujący może uzyskać podwyższone uprawnienia w systemie WordPress, co w praktyce może oznaczać przejęcie kontroli nad witryną, modyfikację treści, kradzież danych lub instalację złośliwego oprogramowania.
Należy zaktualizować plugin Datalogics Ecommerce Delivery do wersji wyższej niż 2.6.62. Szczegółowe informacje o dostępnym patchu dostępne są w referencjach producenta oraz w bazie Patchstack.
Plugin WordPress Datalogics Ecommerce Delivery w wersjach 2.6.62 i wcześniejszych
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H