Wtyczka Templately dla WordPress w wersjach do 3.2.7 włącznie zawiera podatność polegającą na umieszczaniu wrażliwych informacji w przesyłanych danych (CWE-201). Luka umożliwia nieuwierzytelnionemu atakującemu zdalne odczytanie osadzonych wrażliwych danych, co przy ocenie CVSS 10.0 czyni ją krytyczną.
▸ Pokaż oryginał (EN)
Insertion of Sensitive Information Into Sent Data vulnerability in WPDeveloper Templately allows Retrieve Embedded Sensitive Data. This issue affects Templately: from n/a through 3.2.7.
Podatność polega na tym, że wtyczka nieprawidłowo dołącza wrażliwe informacje do danych wysyłanych w odpowiedziach lub żądaniach sieciowych. Atakujący może przechwycić lub w inny sposób pobrać te dane bez konieczności uwierzytelniania i bez żadnej interakcji ze strony użytkownika. Ze względu na wektor sieciowy (AV:N) oraz brak wymagań dotyczących uprawnień (PR:N) i interakcji użytkownika (UI:N), atak może być przeprowadzony zdalnie przez dowolną osobę mającą dostęp do sieci.
Atakujący może uzyskać dostęp do wrażliwych danych osadzonych w przesyłanych informacjach, co może prowadzić do naruszenia poufności, integralności i dostępności systemu — w tym potencjalnie do przejęcia poświadczeń lub dalszej eskalacji ataku.
Należy zaktualizować wtyczkę Templately do wersji wyższej niż 3.2.7. Szczegółowe informacje o dostępnym patchu znajdują się w referencjach producenta oraz w bazie Patchstack.
Wtyczka WPDeveloper Templately dla WordPress w wersjach od n/a do 3.2.7 włącznie.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H