CVE-2024-8247 in Newsletters Plugin
Riassunto
di VulDB • 19/06/2026
Il plugin Newsletters per WordPress è vulnerabile a escalation di privilegi in tutte le versioni fino alla 4.9.9.2 inclusa. Ciò è dovuto al fatto che il plugin non limita quali metadati utente (user meta) possono essere aggiornati tramite le opzioni dello schermo (screen options). Questo rende possibile per gli attaccanti autenticati, con accesso a livello di sottoscrittore (subscriber) e superiore, escalare i propri privilegi fino a quelli di amministratore. Si noti che questo colpisce solo gli utenti con l'accesso alle opzioni di modifica/aggiornamento delle schermate, il che significa che un amministratore deve concedere agli utenti con privilegi inferiori l'accesso alla pagina "Email inviate e bozze" (Sent & Draft Emails) del plugin affinché la vulnerabilità possa essere sfruttata.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.