CVE-2023-4404
🟠 Łataj w tym tygodniu
Wtyczka Donation Forms by Charitable w WordPress umożliwia eskalację uprawnień dla nieautoryzowanych użytkowników.
CVSS
9.8
EPSS
0.2%
Exploit
none
Vendor
wpcharitable
Opis źródłowy (NVD)
The Donation Forms by Charitable plugin for WordPress is vulnerable to privilege escalation in versions up to, and including, 1.7.0.12 due to insufficient restriction on the 'update_core_user' function. This makes it possible for unauthenticated attackers to specify their user role by supplying the 'role' parameter during a registration.
privilege-escalation
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.2% |
| Opublikowano (NVD) | 2023-08-23 02:15:08 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-08 18:18:14 UTC |
Referencje
- https://plugins.trac.wordpress.org/browser/charitable/tags/1.7.0.12/includes/users/class-charitable-user.php#L866 (security@wordfence.com) [Product]
- https://www.wordfence.com/threat-intel/vulnerabilities/id/522ecc1c-5834-4325-9234-79cf712213f3?source=cve (security@wordfence.com) [Third Party Advisory]