CVE-2024-11194

ALT (8,8)

CVSS3: 0,0

El connector The Classified Listing – Classified ads & Business Directory  per a WordPress és vulnerable a la modificació no autoritzada de dades que pot provocar una escalada de privilegis a causa d’una comprovació incorrecta de la funció “rtcl_import_settings” en totes les versions fins a la 3.1.15.1 inclosa. Això fa possible que els atacants autenticats, amb accés a nivell de subscriptor i superior, actualitzin opcions arbitràries limitades al lloc de WordPress. Això es pot aprofitar per actualitzar el rol de subscriptor.

Sistemes Afectats

• techlabpro1 Classified Listing – Classified ads & Business Directory Plugin

Remediació
No hi ha cap recurs disponible a partir del 19 de novembre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/13d9a59f-1a1a-4936-a5ab-8a5e0c50303b?source=cve
• https://plugins.trac.wordpress.org/browser/classified-listing/tags/3.1.12/app/Controllers/Ajax/Import.php#L473
• https://plugins.trac.wordpress.org/browser/classified-listing/tags/3.1.12/app/Controllers/Ajax/Import.php#L309
• https://plugins.trac.wordpress.org/changeset/3189516/