[TLP:CLEAR] WordPress Zephyr Project Manager plugin opravuje 1 zranitelnost
WordPress Zephyr Project Manager plugin verze 3.3.102 opravuje vysoce závažnou zranitelnost zvýšení oprávnění [1].
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné kontrole uživatelských oprávnění v zásuvném modulu prostřednictvím funkce 'update_user_access()' umožněno zvýšit svá oprávnění a získat plný přístup k nastavení modulu [1].
Zranitelnost se nachází v produktu Zephyr Project Manager ve verzích <=3.3.101.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2024-7624 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-285: Improper Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 8. 2024.