CVE-2021-24527

Profile Builder < 3.4.9 - Admin Access via Password Reset

EPSS 7.7%CWE-287

Vexday Risk Score

18Baixo

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 7.7%KEV nãoPoC —Nuclei simMetasploit —Patch —

Ciclo de vida

16 ago 2021Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

The User Registration & User Profile – Profile Builder WordPress plugin before 3.4.9 has a bug allowing any user to reset the password of the admin of the blog, and gain unauthorised access, due to a bypass in the way the reset key is checked. Furthermore, the admin will not be notified of such change by email for example.

Produtos afetados

Unknown · User Registration & User Profile – Profile Builder

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://wpscan.com/vulnerability/c142e738-bc4b-4058-a03e-1be6fca47207