The Plus Addons for Elementor – Addons for Elementor, шаблоны страниц, виджеты, Mega Menu, WooCommerce плагин для WordPress уязвим для непр…
The Plus Addons for Elementor – Addons for Elementor, шаблоны страниц, виджеты, Mega Menu, WooCommerce плагин для WordPress уязвим для неправильного авторизации во всех версиях до 6.4.7. Это связано с tpae_create_page() обработчиком AJAX, разрешающим пользователям только с помощью current_user_can('edit_posts') при принятии контролируемого пользователем значения «post_type», переданного непосредственно wp_insert_post() без проверок возможностей пост-типа. Это позволяет аутентифицированным злоумышленникам с доступом на уровне авторов и выше создавать произвольные призывные сообщения для ограниченных типов должностей (например, «страница» и «nxt_builder») с помощью параметра «post_type».
Продукт выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие, однако не осуществляет эту проверку корректно.
https://cwe.mitre.org/data/definitions/863.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается |