CVE-2024-3895 in WP Datepicker Plugininfo

Zusammenfassung

von VulDB • 21.05.2026

Das WP Datepicker-Plugin für WordPress ist in allen Versionen bis einschließlich 2.1.0 anfällig für unbefugte Datenmanipulation aufgrund einer fehlenden Berechtigungsprüfung in der Funktion wpdp_add_new_datepicker_ajax(). Dies ermöglicht es authentifizierten Angreifern mit Subscriber-Level-Zugriff und höher, beliebige Optionen zu aktualisieren, die für eine Privilegieneskalation genutzt werden können. Dies wurde teilweise in den Versionen 2.0.9 und 2.1.0 gepatcht und vollständig in Version 2.1.1 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Wordfence

Reservieren

16.04.2024

Veröffentlichung

03.05.2024

Moderieren

akzeptiert

Eintrag

VDB-261818

CPE

bereit

EPSS

0.00911

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!