🚨CVE info : 🚨
🛠️ Produit concerné : PT Project Notebooks
📆 Date de publication : 2025-06-28
🎯 Score CVSS v3.1 : 🔴 9.8 (CRITICAL)
🧪 Vecteur CVSS : accès réseau
📄 Description : Le plugin de carnets de projet PT pour WordPress est vulnérable à l'escalade des privilèges en raison de l'autorisation manquante dans la fonction WPNB_PTO_NEW_USERS_ADD () dans les versions 1.0.0 à 1.1.3. Cela permet aux attaquants non authentifiés d'élever leurs privilèges à celui d'un administrateur.
🔥 Risques : élévation de privilèges pour les attaquants non authentifiés permettant l'accès administrateur
💡 Opportunités : possibilité d'accéder à des fonctionnalités administratives
🔧 Patch : oui/lien à fournir
🧨 Exploit : Exploit public
📚 Références :
🛠️ Produit concerné : Game Users Share Buttons
📆 Date de publication : 2025-06-28
🎯 Score CVSS v3.1 : 🟠 8.8 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : Le plugin de boutons de partage des utilisateurs de jeu pour WordPress est vulnérable à la suppression arbitraire des fichiers en raison de la validation insuffisante du chemin du fichier dans la fonction ajaxdeleTeTeme () dans toutes les versions jusqu'à et y compris le 1.3.0. Cela permet aux attaquants de niveau abonné d'ajouter des chemins de fichier arbitraires (tels que ../../../../wp-config.php) au paramètre ThemeNameID de la demande Ajax, ce qui peut conduire à l'exécution du code distant.
🔥 Risques : suppression de fichiers arbitraires via validation insuffisante des chemins
💡 Opportunités : possibilité de supprimer des fichiers critiques du serveur
🔧 Patch : oui/lien à fournir
🧨 Exploit : Exploit public
📚 Références :