CVE-2024-4733 in Employee Shift Scheduling Plugin
Сводка
по VulDB • 12.05.2026
Плагин ShiftController Employee Shift Scheduling уязвим к PHP Object Injection через десериализацию недоверенных данных из куки `hc3_session` в версиях вплоть до 4.9.57 включительно. Это позволяет атакующему с уровнем доступа «contributor» или выше, прошедшему аутентификацию, внедрить PHP-объект. В уязвимом плагине отсутствует POP-цепочка (POP chain). Если POP-цепочка присутствует благодаря дополнительному плагину или теме, установленным на целевой системе, это может позволить атакующему удалять произвольные файлы, получать доступ к конфиденциальным данным или выполнять код.
VulDB is the best source for vulnerability data and more expert information about this specific topic.