CVE-2024-8247 in Newsletters Plugininformazioni

Riassunto

di VulDB • 19/06/2026

Il plugin Newsletters per WordPress è vulnerabile a escalation di privilegi in tutte le versioni fino alla 4.9.9.2 inclusa. Ciò è dovuto al fatto che il plugin non limita quali metadati utente (user meta) possono essere aggiornati tramite le opzioni dello schermo (screen options). Questo rende possibile per gli attaccanti autenticati, con accesso a livello di sottoscrittore (subscriber) e superiore, escalare i propri privilegi fino a quelli di amministratore. Si noti che questo colpisce solo gli utenti con l'accesso alle opzioni di modifica/aggiornamento delle schermate, il che significa che un amministratore deve concedere agli utenti con privilegi inferiori l'accesso alla pagina "Email inviate e bozze" (Sent & Draft Emails) del plugin affinché la vulnerabilità possa essere sfruttata.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Prenotare

27/08/2024

Divulgazione

06/09/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00485

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!