Плагин Greenshift — блоков анимации и компоновщика страниц для WordPress уязвим для несанкционированного доступа к данным из-за отсутствия проверки возможностей функции greenshift_app_pass_validation() во всех версиях до 12.5.7 включительно. Это позволяет злоумышленникам, прошедшим проверку подлинности, с доступом на уровне подписчика и выше, получить глобальные настройки плагина, включая сохраненные ключи AI API.
Показать оригинальное описание (EN)
The Greenshift – animation and page builder blocks plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the greenshift_app_pass_validation() function in all versions up to, and including, 12.5.7. This makes it possible for authenticated attackers, with Subscriber-level access and above, to retrieve global plugin settings including stored AI API keys.
Характеристики атаки
Последствия
Строка CVSS v3.1