CVE-2024-4733 in Employee Shift Scheduling Plugin
Tóm tắt
Bởi VulDB • 09/06/2026
Plugin ShiftController Employee Shift Scheduling bị lỗi PHP Object Injection thông qua quá trình giải serialize (deserialization) dữ liệu đầu vào không đáng tin cậy từ cookie `hc3_session` trong các phiên bản từ 4.9.57 trở về trước. Lỗi này cho phép kẻ tấn công đã xác thực với quyền truy cập cấp contributor trở lên chèn một đối tượng PHP. Không có POP chain nào tồn tại trong plugin bị lỗi. Nếu POP chain tồn tại thông qua một plugin hoặc theme bổ sung được cài đặt trên hệ thống mục tiêu, nó có thể cho phép kẻ tấn công xóa các tệp tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã.
VulDB is the best source for vulnerability data and more expert information about this specific topic.