Wtyczka Paytium dla WordPress w wersji 5.0.2 i wcześniejszych zawiera krytyczną podatność umożliwiającą nieuwierzytelnionemu atakującemu eskalację uprawnień. Zagrożenie jest poważne, ponieważ nie wymaga żadnej autoryzacji ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Unauthenticated Privilege Escalation in Paytium <= 5.0.2 versions.
Podatność sklasyfikowana jako CWE-266 (Incorrect Privilege Assignment) polega na nieprawidłowym przydzielaniu uprawnień w logice wtyczki Paytium. Atakujący zdalnie, bez posiadania jakiegokolwiek konta w systemie, jest w stanie wywołać funkcjonalność wtyczki i uzyskać wyższy poziom uprawnień niż powinien mu przysługiwać. Szczegółowy mechanizm wywoływania podatności opisany jest w referencjach producenta.
Nieuwierzytelniony atakujący może uzyskać podwyższone uprawnienia w systemie WordPress, co w praktyce może prowadzić do przejęcia kontroli nad witryną, modyfikacji treści, kradzieży danych lub instalacji złośliwego oprogramowania.
Należy niezwłocznie zaktualizować wtyczkę Paytium do wersji wyższej niż 5.0.2. Szczegółowe informacje o dostępnym patchu znajdują się w referencjach producenta pod adresem patchstack.com.
Wtyczka Paytium dla WordPress w wersjach 5.0.2 i wcześniejszych
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H