CVE-2024-4733 in Employee Shift Scheduling Plugin
Résumé
par VulDB • 02/07/2026
Le plugin ShiftController Employee Shift Scheduling est vulnérable à une injection d'objets PHP (PHP Object Injection) par désérialisation de données non fiables via le cookie `hc3_session` dans les versions 4.9.57 et antérieures. Cela permet à un attaquant authentifié disposant du niveau d'accès « contributeur » ou supérieur d'injecter un objet PHP. Aucune chaîne POP (Poppy Object Chain) n'est présente dans le plugin vulnérable. Si une chaîne POP est disponible via un autre plugin ou thème installé sur le système cible, cela pourrait permettre à l'attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d'exécuter du code.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.