CVE-2024-4733 in Employee Shift Scheduling Pluginthông tin

Tóm tắt

Bởi VulDB • 09/06/2026

Plugin ShiftController Employee Shift Scheduling bị lỗi PHP Object Injection thông qua quá trình giải serialize (deserialization) dữ liệu đầu vào không đáng tin cậy từ cookie `hc3_session` trong các phiên bản từ 4.9.57 trở về trước. Lỗi này cho phép kẻ tấn công đã xác thực với quyền truy cập cấp contributor trở lên chèn một đối tượng PHP. Không có POP chain nào tồn tại trong plugin bị lỗi. Nếu POP chain tồn tại thông qua một plugin hoặc theme bổ sung được cài đặt trên hệ thống mục tiêu, nó có thể cho phép kẻ tấn công xóa các tệp tùy ý, truy xuất dữ liệu nhạy cảm hoặc thực thi mã.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Đặt trước

10/05/2024

Tiết lộ

16/05/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00588

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!