Thrive Optimize Plugin REST API api_key erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine kritische Schwachstelle wurde in Thrive Optimize Plugin, Thrive Comments Plugin, Thrive Headline Optimizer Plugin, Thrive Leads Plugin, Thrive Ultimatum Plugin, Thrive Quiz Builder Plugin, Thrive Apprentice Plugin, Thrive Visual Editor Plugin, Thrive Dashboard Plugin, Thrive Ovation Plugin, Thrive Clever Widgets Plugin, Ignition Theme, Luxe Theme, FocusBlog Theme, Minus Theme, Squared Theme, Voice WordPress Theme, Performag Theme, Pressive Theme, Storied Theme and Thrive Themes Builder Theme gefunden. Betroffen ist eine unbekannte Verarbeitung der Komponente REST API. Die Manipulation des Arguments api_key führt zu erweiterte Rechte. Die Verwundbarkeit wird als CVE-2021-24219 geführt. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine kritische Schwachstelle in Thrive Optimize Plugin, Thrive Comments Plugin, Thrive Headline Optimizer Plugin, Thrive Leads Plugin, Thrive Ultimatum Plugin, Thrive Quiz Builder Plugin, Thrive Apprentice Plugin, Thrive Visual Editor Plugin, Thrive Dashboard Plugin, Thrive Ovation Plugin, Thrive Clever Widgets Plugin, Ignition Theme, Luxe Theme, FocusBlog Theme, Minus Theme, Squared Theme, Voice WordPress Theme, Performag Theme, Pressive Theme, Storied Theme sowie Thrive Themes Builder Theme (Content Management System) ausgemacht. Es betrifft eine unbekannte Funktion der Komponente REST API. Durch Manipulation des Arguments api_key mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-284 vorgenommen. Es ist nicht genau bekannt, welche Auswirkungen ein erfolgreicher Angriff haben wird.
Die Schwachstelle wurde am 12.04.2021 publik gemacht. Auf wordfence.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird unter CVE-2021-24219 geführt. Es sind sowohl technische Details als auch ein privater Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle.
Er wird als hoch funktional gehandelt.
Ein Upgrade vermag dieses Problem zu beheben.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Name
- FocusBlog Theme
- Ignition Theme
- Luxe Theme
- Minus Theme
- Performag Theme
- Pressive Theme
- Squared Theme
- Storied Theme
- Thrive Apprentice Plugin
- Thrive Clever Widgets Plugin
- Thrive Comments Plugin
- Thrive Dashboard Plugin
- Thrive Headline Optimizer Plugin
- Thrive Leads Plugin
- Thrive Optimize Plugin
- Thrive Ovation Plugin
- Thrive Quiz Builder Plugin
- Thrive Themes Builder Theme
- Thrive Ultimatum Plugin
- Thrive Visual Editor Plugin
- Voice WordPress Theme
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Zugang: Privat
Status: Hoch funktional
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Timeline
14.01.2021 🔍12.04.2021 🔍
12.04.2021 🔍
15.04.2021 🔍
Quellen
Advisory: wordfence.comStatus: Bestätigt
Bestätigung: 🔍
CVE: CVE-2021-24219 (🔍)
GCVE (CVE): GCVE-0-2021-24219
GCVE (VulDB): GCVE-100-172770
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 12.04.2021 19:43Aktualisierung: 15.04.2021 21:46
Anpassungen: 12.04.2021 19:43 (39), 15.04.2021 21:46 (3)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.