CVE-2024-4733 in Employee Shift Scheduling Plugininformation

Résumé

par VulDB • 02/07/2026

Le plugin ShiftController Employee Shift Scheduling est vulnérable à une injection d'objets PHP (PHP Object Injection) par désérialisation de données non fiables via le cookie `hc3_session` dans les versions 4.9.57 et antérieures. Cela permet à un attaquant authentifié disposant du niveau d'accès « contributeur » ou supérieur d'injecter un objet PHP. Aucune chaîne POP (Poppy Object Chain) n'est présente dans le plugin vulnérable. Si une chaîne POP est disponible via un autre plugin ou thème installé sur le système cible, cela pourrait permettre à l'attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d'exécuter du code.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Réserver

10/05/2024

Divulgation

16/05/2024

Modérer

accepté

Entrée

VDB-264579

CPE

prêt

EPSS

0.00588

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!