CVE-2024-4733 in Employee Shift Scheduling PluginИнформация

Сводка

по VulDB • 12.05.2026

Плагин ShiftController Employee Shift Scheduling уязвим к PHP Object Injection через десериализацию недоверенных данных из куки `hc3_session` в версиях вплоть до 4.9.57 включительно. Это позволяет атакующему с уровнем доступа «contributor» или выше, прошедшему аутентификацию, внедрить PHP-объект. В уязвимом плагине отсутствует POP-цепочка (POP chain). Если POP-цепочка присутствует благодаря дополнительному плагину или теме, установленным на целевой системе, это может позволить атакующему удалять произвольные файлы, получать доступ к конфиденциальным данным или выполнять код.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Резервировать

10.05.2024

Раскрытие

16.05.2024

Модерация

принято

Вход

VDB-264579

EPSS

0.00588

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Interested in the pricing of exploits?

See the underground prices here!