Регистрация и членство пользователя - Бесплатные и платные членства, Подписки, Ограничение контента, Профиль пользователя, Пользовательская…
Регистрация и членство пользователя - Бесплатные и платные членства, Подписки, Ограничение контента, Профиль пользователя, Пользовательская регистрация пользователей и плагин конструкторов для WordPress уязвим для небезопасных прямых объектов во всех версиях до 5.1.5. Это связано с отсутствием подтверждения права собственности на идентификатор вложения, контролируемого пользователем, что позволяет плагину хранить и впоследствии удалять произвольные вложения носителей, не проверяя, что ссылка на вложение принадлежит запрашивающему пользователю. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчика и выше постоянно удалять произвольные вложения мультимедиа, загруженные любым другим пользователем, включая администраторов.
Функциональность авторизации системы не предотвращает возможности одного пользователя получить доступ к данным другого пользователя путём изменения значения ключа, идентифицирующего эти данные.
https://cwe.mitre.org/data/definitions/639.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается |