The Visualizer: Tables and Charts Manager для плагина WordPress для WordPress уязвим для отсутствующей авторизации во всех версиях до 3.11.…
The Visualizer: Tables and Charts Manager для плагина WordPress для WordPress уязвим для отсутствующей авторизации во всех версиях до 3.11.14. Это связано с отсутсутствующей проверкой возможностей ридерчартов () и функциями uploadData() и uploadData(), где действия ajjax_visualizer-create-create-chart и wp_ajax_visualizer-edit-chart AJAX вызывают действия рендерчарные карты () без какой-либо проверки current_user_can() и wp_ajax_visualizer-upload-deataАргумент, делающий его тривиально обходить. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчиков и выше создавать произвольные сообщения в диаграммах и получать доступ или изменять данные диаграмм, принадлежащие другим пользователям, включая администраторов.
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →