Плагин WP Recipe Maker для WordPress уязвим для несанкционированного доступа к данным из-за отсутствия проверки возможностей функций «ajax_search_recipes» и «ajax_get_recipe» во всех версиях до 10.2.3 включительно. Это позволяет злоумышленникам, прошедшим проверку подлинности, с доступом на уровне подписчика и выше, получать конфиденциальную информацию о рецептах, включая черновики, ожидающие и частные рецепты, к которым у них не должно быть доступа.
Показать оригинальное описание (EN)
The WP Recipe Maker plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the 'ajax_search_recipes' and 'ajax_get_recipe' functions in all versions up to, and including, 10.2.3. This makes it possible for authenticated attackers, with Subscriber-level access and above, to retrieve sensitive recipe information including draft, pending, and private recipes that they shouldn't be able to access.
Характеристики атаки
Последствия
Строка CVSS v3.1