Vulnerabilità: CVE-2018-11633


Un problema è stato scoperto nel MULTIDOTS Woo pagamento per le merci digitali plug-in per WordPress 2.1. Se un utente amministratore può essere ingannato a visitare un URL artigianale creato da un attaccante (tramite spear phishing / ingegneria sociale), l’utente malintenzionato può modificare le impostazioni del plugin. La funzione woo_checkout_settings_page nel file di classe-woo-checkout-per-digital-merci-admin.php non fare alcun controllo contro cross-site request wp-admin / admin-post.php contraffazione (CSRF) e le capacità degli utenti.
http://labs.threatpress.com/cross-site-request-forgery-csrf-in-woo-checkout-for-digital-goods-plugin/
https://wordpress.org/plugins/woo-checkout-for-digital-goods/#developers
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11633

E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi