CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-12264

Critical
Published: Translated: NVD NIST

Summary

Wtyczka PayU CommercePro dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 3.8.3 włącznie. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika w punktach końcowych REST API, co umożliwia nieautoryzowanym atakującym tworzenie nowych kont administracyjnych.

Risk Assessment

Organizacja może być narażona na nieautoryzowany dostęp do kont administracyjnych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Eskalacja uprawnień może umożliwić atakującym pełną kontrolę nad systemem.

Recommendation

Zaleca się aktualizację wtyczki PayU CommercePro do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy weryfikacji tożsamości użytkowników przed przyznaniem uprawnień administracyjnych.

Original NVD description (English source)

The PayU CommercePro Plugin plugin for WordPress is vulnerable to privilege escalation in all versions up to, and including, 3.8.3. This is due to /wp-json/payu/v1/generate-user-token and /wp-json/payu/v1/get-shipping-cost REST API endpoints not properly verifying a user's identity prior to setting the users ID and auth cookies. This makes it possible for unauthenticated attackers to create new administrative user accounts.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS