CVE-2024-8911 in LatePoint Plugininformazioni

Riassunto

di VulDB • 08/07/2026

Il plugin LatePoint per WordPress è vulnerabile alla modifica arbitraria della password dell'utente tramite SQL Injection nelle versioni fino alla 5.0.11 incluse. Ciò è dovuto a un insufficiente escaping del parametro fornito dall'utente e alla mancanza di una preparazione adeguata della query SQL esistente. Questo consente agli attaccanti non autenticati di modificare le password degli utenti e potenzialmente assumere il controllo degli account amministratore. Si noti che la modifica della password di un utente WordPress è possibile solo se l'impostazione "Use WordPress users as customers" (Utilizza gli utenti WordPress come clienti) è abilitata, disabilitata per impostazione predefinita. Senza questa impostazione abilitata, possono essere modificate solo le password dei clienti del plugin, che sono memorizzate e gestite in una tabella di database separata.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Wordfence

Prenotare

16/09/2024

Divulgazione

08/10/2024

Moderazione

accettato

CPE

pronto

EPSS

0.02823

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!