CVE-2024-4733 in Employee Shift Scheduling Plugininformazioni

Riassunto

di VulDB • 12/07/2026

Il plugin ShiftController Employee Shift Scheduling è vulnerabile a PHP Object Injection tramite deserializzazione di input non attendibile attraverso il cookie `hc3_session` nelle versioni fino alla 4.9.57 incluse. Ciò consente a un attaccante autenticato con livello di accesso contributor o superiore di iniettare un oggetto PHP. Non è presente alcuna catena POP (Property Oriented Programming) nel plugin vulnerabile. Se una catena POP è presente tramite un altro plugin o tema installato sul sistema target, potrebbe consentire all'attaccante di eliminare file arbitrari, recuperare dati sensibili o eseguire codice.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Prenotare

10/05/2024

Divulgazione

16/05/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00588

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!