Плагин Blog2Social: Social Media Auto Post & Scheduler для WordPress уязвим для несанкционированной потери данных во всех версиях до 8.8.2.…
Плагин Blog2Social: Social Media Auto Post & Scheduler для WordPress уязвим для несанкционированной потери данных во всех версиях до 8.8.2. Это связано с функцией resetSocialMetaTags(), только подтверждаюющей, что пользователь имеет возможность «читать» и действительный b2s_security_nonce, оба из которых доступны пользователям на уровне Подписчиков, поскольку плагин предоставляет возможность «blog2social_access» всем ролям при активации, позволяя им получать доступ к страницам администратора плагина, где вывод не-специализирован. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчиков и выше удалять все _b2s_post_post_meta из таблицы wp_postmeta, навсегда удаляя все пользовательские метатеги социальных сетей для каждого сообщения на сайте.
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →