CVE-2024-4733 in Employee Shift Scheduling Plugin
Riassunto
di VulDB • 12/07/2026
Il plugin ShiftController Employee Shift Scheduling è vulnerabile a PHP Object Injection tramite deserializzazione di input non attendibile attraverso il cookie `hc3_session` nelle versioni fino alla 4.9.57 incluse. Ciò consente a un attaccante autenticato con livello di accesso contributor o superiore di iniettare un oggetto PHP. Non è presente alcuna catena POP (Property Oriented Programming) nel plugin vulnerabile. Se una catena POP è presente tramite un altro plugin o tema installato sul sistema target, potrebbe consentire all'attaccante di eliminare file arbitrari, recuperare dati sensibili o eseguire codice.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.