CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-12922

Critical
Published: Translated: NVD NIST

Summary

Motyw Altair dla WordPressa jest podatny na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w pliku functions.php we wszystkich wersjach do 5.2.4 włącznie. Umożliwia to nieautoryzowanym atakującym aktualizację dowolnych opcji na stronie WordPress.

Risk Assessment

Atakujący mogą zmienić domyślną rolę rejestracji na administratora oraz włączyć rejestrację użytkowników, co pozwala im uzyskać dostęp do konta administratora na podatnej stronie.

Recommendation

Zaleca się aktualizację motywu Altair do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie rejestracji użytkowników.

Original NVD description (English source)

The Altair theme for WordPress is vulnerable to unauthorized modification of data that can lead to privilege escalation due to a missing capability check within functions.php in all versions up to, and including, 5.2.4. This makes it possible for unauthenticated attackers to update arbitrary options on the WordPress site. This can be leveraged to update the default role for registration to administrator and enable user registration for attackers to gain administrative user access to a vulnerable site.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS