Easy Cookies Policy Plugin bis 1.6.2 auf WordPress Subscriber Cross Site Request Forgery

EintraganpassenHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
3.4$0-$5k0.00

Eine Schwachstelle wurde in Easy Cookies Policy Plugin bis 1.6.2 auf WordPress (WordPress Plugin) gefunden. Sie wurde als problematisch eingestuft. Betroffen davon ist ein unbekannter Prozess der Komponente Subscriber Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-352. Auswirkungen sind zu beobachten für die Integrität. CVE fasst zusammen:

The Easy Cookies Policy WordPress plugin through 1.6.2 is lacking any capability and CSRF check when saving its settings, allowing any authenticated users (such as subscriber) to change them. If users can't register, this can be done through CSRF. Furthermore, the cookie banner setting is not sanitised or validated before being output in all pages of the frontend and the backend settings one, leading to a Stored Cross-Site Scripting issue.

Die Schwachstelle wurde am 06.07.2021 veröffentlicht. Auf wpscan.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 14.01.2021 als CVE-2021-24405 statt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Produktinfoanpassen

Typ

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 3.5
VulDB Meta Temp Score: 3.4

VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfoanpassen

Klasse: Cross Site Request Forgery
CWE: CWE-352
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfoanpassen

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔒

Timelineinfoanpassen

14.01.2021 CVE zugewiesen
06.07.2021 +172 Tage Advisory veröffentlicht
06.07.2021 +0 Tage VulDB Eintrag erstellt
10.07.2021 +3 Tage VulDB letzte Aktualisierung

Quelleninfoanpassen

Advisory: wpscan.com
Status: Nicht definiert
Bestätigung: 🔒

CVE: CVE-2021-24405 (🔒)

Eintraginfoanpassen

Erstellt: 06.07.2021 16:47
Aktualisierung: 10.07.2021 00:50
Anpassungen: (3) source_cve_assigned source_cve_nvd_summary advisory_confirm_url
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: . Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!