CVE-2024-4733 in Employee Shift Scheduling Pluginالمعلومات

الملخص

بحسب VulDB • 09/06/2026

يحتوي مكون إضافة جدولة نوبات الموظفين ShiftController Employee Shift Scheduling على ثغرة حقن كائن PHP (PHP Object Injection) عبر عملية فك التسلسل (deserialization) لإدخال غير موثوق به عبر ملف تعريف الارتباط `hc3_session` في الإصدارات حتى 4.9.57 شاملاً. يتيح ذلك لمهاجم مُصادق عليه يمتلك مستوى وصول "مساهم" (contributor) أو أعلى حقن كائن PHP. لا توجد سلسلة استغلال POP (POP chain) موجودة في مكون الإضافة المتأثر. ومع ذلك، إذا كانت سلسلة استغلال POP موجودة عبر مكون إضافة أو سمة إضافية مثبتة على النظام المستهدف، فقد تتيح للمهاجم حذف ملفات عشوائية، أو استرداد بيانات حساسة، أو تنفيذ الأكواد.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

حجز

10/05/2024

إفشاء

16/05/2024

الاعتدال

تمت الموافقة

إدخال

VDB-264579

EPSS

0.00588

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to know what is going to be exploited?

We predict KEV entries!