Podatność nieprawidłowego przypisania uprawnień (Incorrect Privilege Assignment) w pluginie WordPress Hippoo Mobile App for WooCommerce umożliwia nieuprzywilejowanemu atakującemu eskalację uprawnień w systemie. Ocena CVSS 9.8 wskazuje na krytyczne zagrożenie, ponieważ exploit nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Incorrect Privilege Assignment vulnerability in Hippoo Mobile App for WooCommerce allows Privilege Escalation. This issue affects Hippoo Mobile App for WooCommerce: from n/a through 1.9.4.
Błąd sklasyfikowany jako CWE-266 (Incorrect Privilege Assignment) polega na nieprawidłowym przypisywaniu uprawnień w logice pluginu. Atakujący może, bez posiadania żadnych poświadczeń, wysłać odpowiednio spreparowane żądanie do podatnego endpointu i uzyskać wyższy poziom dostępu niż powinien. Mechanizm umożliwia privilege escalation, co w środowisku WordPress może oznaczać przejęcie roli administratora.
Atakujący może uzyskać podwyższone uprawnienia w aplikacji WordPress, potencjalnie przejmując pełną kontrolę nad stroną, w tym dostęp do danych klientów sklepu WooCommerce oraz możliwość modyfikacji konfiguracji systemu.
Należy zaktualizować plugin Hippoo Mobile App for WooCommerce do wersji wyższej niż 1.9.4. Szczegóły dotyczące dostępnego patcha znajdują się w referencjach producenta oraz w bazie Patchstack.
Plugin WordPress Hippoo Mobile App for WooCommerce w wersjach od początku istnienia do 1.9.4 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H