Плагин группового чата и видеочата от AtomChat для WordPress уязвим для несанкционированного изменения данных из-за отсутствия проверки возможностей функций «atomchat_update_auth_ajax» и «atomchat_update_layout_ajax» во всех версиях до 1.1.7 включительно. Это позволяет злоумышленникам, прошедшим проверку подлинности, с доступом на уровне подписчика и выше, обновлять параметры плагина, включая критические настройки, такие как ключи API, ключи аутентификации и конфигурации макета.
Показать оригинальное описание (EN)
The Group Chat & Video Chat by AtomChat plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'atomchat_update_auth_ajax' and 'atomchat_update_layout_ajax' functions in all versions up to, and including, 1.1.7. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update plugin options, including critical settings such as API keys, authentication keys, and layout configurations.
Характеристики атаки
Последствия
Строка CVSS v3.1