Плагин WordPress trx_addons до версии 2.38.5 неправильно проверяет типы файлов в одном из своих действий AJAX, позволяя неаутентифицированным пользователям загружать произвольные файлы. Это связано с неправильным исправлением CVE-2024-13448.
Показать оригинальное описание (EN)
The trx_addons WordPress plugin before 2.38.5 does not correctly validate file types in one of its AJAX action, allowing unauthenticated users to upload arbitrary file. This is due to an incorrect fix of CVE-2024-13448
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1