Activity Log Plugin na WordPress HTTP Header X-Forwarded-For privilege escalation
Odkryto lukę w Activity Log Plugin. Podatnością dotknięta jest nieznana funkcja w komponencie HTTP Header Handler. Dzięki manipulacji argumentem X-Forwarded-For przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Raport na temat podatności został udostępniony pod adresem drive.google.com. Podatność ta jest zwana CVE-2022-3941. Możliwe jest zdalne przeprowadzenie ataku. Techniczne szczegóły są znane. Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem drive.google.com. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.