CVE-2024-9192

ALT (8,8)

CVSS3: 0,0

El robot de vídeo de WordPress: el connector de l’importador de vídeo definitiu per a WordPress és vulnerable a l’escalada de privilegis a causa d’una validació insuficient del camp meta de l’usuari que es pot actualitzar a la funció wpvr_rate_request_result() en totes les versions fins a la 1.20.0 inclosa. Això fa possible que els atacants autenticats, amb accés a nivell de subscriptor i superior, actualitzin el seu camp meta d’usuari en un lloc de WordPress. Això es pot aprofitar per actualitzar les seves capacitats a les d’un administrador.

Sistemes Afectats

• pressaholic WordPress Video Robot – The Ultimate Video Importer

Remediació
No hi ha cap recurs disponible a partir del 16 de novembre del 2024.

Referències

• https://www.wordfence.com/threat-intel/vulnerabilities/id/2da019d3-4aca-485a-aa0c-73728dc1e7c1?source=cve
• https://codecanyon.net/item/wordpress-video-robot-plugin/8619739