Плагин MultiVendorX – WooCommerce Multivendor Marketplace Solutions для WordPress уязвим к неавторизованной потере данных из-за неправильно…
Плагин MultiVendorX – WooCommerce Multivendor Marketplace Solutions для WordPress уязвим к неавторизованной потере данных из-за неправильной проверки прав доступа на функцию 'delete_fpm_product' во всех версиях до 4.2.22 включительно. Это позволяет аутентифицированным злоумышленникам с доступом на уровне автора и выше удалять произвольные посты, страницы, вложения и товары [1]. Уязвимость была частично исправлена в версии 4.2.22. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/5c1fd517-32ee-429d-9026-512afe117dc5?source=cve - [2] https://plugins.trac.wordpress.org/browser/dc-woocommerce-multi-vendor/trunk/classes/class-mvx-ajax.php#L982 - [3] https://plugins.trac.wordpress.org/changeset/3293832/dc-woocommerce-multi-vendor/trunk/classes/class-mvx-ajax.php?old=3272848&old_path=dc-woocommerce-multi-vendor%2Ftrunk%2Fclasses%2Fclass-mvx-ajax.php
Продукт выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие, однако не осуществляет эту проверку корректно.
https://cwe.mitre.org/data/definitions/863.html →Открыть в коллекции CWE →