Плагин Blaze Demo Importer для WordPress содержит уязвимость, позволяющую неавторизованным пользователям устанавливать ограниченное количес…
Плагин Blaze Demo Importer для WordPress содержит уязвимость, позволяющую неавторизованным пользователям устанавливать ограниченное количество плагинов из-за отсутствия проверки прав доступа к функции 'blaze_demo_importer_install_plugin'. Это позволяет аутентифицированным злоумышленникам с правами Subscriber и выше устанавливать и активировать определённые плагины при условии наличия и активации тем News Kit Elementor Addons и BlazeThemes. Уязвимость устранена в версии 1.0.13 [1]. Источники: - [1] https://www.wordfence.com/threat-intel/vulnerabilities/id/a91bd1cf-ac63-4d65-b9fc-3fa2507cc27e?source=cve - [2] https://plugins.trac.wordpress.org/browser/blaze-demo-importer/trunk/blaze-demo-importer.php#L91 - [3] https://plugins.trac.wordpress.org/changeset/3361179/
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →