Qubely Plugin bis 1.8.5 auf WordPress AJAX Action qubely_send_form_data erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
In Qubely Plugin bis 1.8.5 auf WordPress (WordPress Plugin) wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Hierbei betrifft es die Funktion qubely_send_form_data der Komponente AJAX Action Handler. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-284. Es ist nicht bekannt, inwiefern sich eine durchgesetzte Attacke genau auswirken wird. Die Zusammenfassung von CVE lautet:
The Qubely WordPress plugin before 1.8.6 allows unauthenticated user to send arbitrary e-mails to arbitrary addresses via the qubely_send_form_data AJAX action.Die Schwachstelle wurde am 07.08.2023 öffentlich gemacht. Das Advisory findet sich auf wpscan.com. Die Verwundbarkeit wird seit dem 14.01.2021 als CVE-2021-24916 geführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1068 bezeichnet.
Ein Aktualisieren auf die Version 1.8.6 vermag dieses Problem zu lösen.
Von weiterem Interesse können die folgenden Einträge sein: VDB-250892, VDB-250894, VDB-250904 und VDB-252322.
Produkt
Typ
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.4VulDB Meta Temp Score: 7.2
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Qubely Plugin 1.8.6
Timeline
14.01.2021 CVE zugewiesen07.08.2023 Advisory veröffentlicht
07.08.2023 VulDB Eintrag erstellt
30.08.2023 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: wpscan.comStatus: Bestätigt
CVE: CVE-2021-24916 (🔒)
Siehe auch: 🔒
Eintrag
Erstellt: 07.08.2023 19:43Aktualisierung: 30.08.2023 15:44
Anpassungen: 07.08.2023 19:43 (42), 30.08.2023 15:44 (11)
Komplett: 🔍
Cache ID: 3:048:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.