CVE-2022-1020
Woo Product Table < 3.1.2 - Unauthenticated Arbitrary Function Call
En resumen
El plugin Woo Product Table, versión anterior a 3.1.2, permite que cualquier persona en internet ejecute funciones arbitrarias en el sitio sin autorización ni verificación. Un atacante puede explotar esto mediante una solicitud especialmente diseñada para ejecutar acciones de código no deseadas.
Detalle técnico
La acción AJAX wpt_admin_update_notice_option carece de verificaciones de autorización y tokens CSRF, permitiendo acceso no autenticado. El parámetro callback no se valida, permitiendo la invocación de funciones arbitrarias con cero o un argumento controlado por el usuario, resultando en posible ejecución de código o modificación no autorizada del estado.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Product Table for WooCommerce (wooproducttable) WordPress plugin before 3.1.2 does not have authorisation and CSRF checks in the wpt_admin_update_notice_option AJAX action (available to both unauthenticated and authenticated users), as well as does not validate the callback parameter, allowing unauthenticated attackers to call arbitrary functions with either none or one user controlled argument
Productos afectados
Unknown · Product Table for WooCommerce (wooproducttable)¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →