Пользовательский интерфейс: плагин AI Powered Frontend для публикации, каталога пользователей, профиля, членства и регистрации пользователей для WordPress уязвим к несанкционированному изменению данных из-за отсутствия проверки возможностей функции Draft_post() во всех версиях до 4.2.8 включительно. Это позволяет неаутентифицированным злоумышленникам изменять произвольные сообщения (например, отменять публикацию опубликованных сообщений и перезаписывать их содержимое) с помощью параметра post_id.
Показать оригинальное описание (EN)
The User Frontend: AI Powered Frontend Posting, User Directory, Profile, Membership & User Registration plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the draft_post() function in all versions up to, and including, 4.2.8. This makes it possible for unauthenticated attackers to modify arbitrary posts (e.g. unpublish published posts and overwrite the contents) via the 'post_id' parameter.
Характеристики атаки
Последствия
Строка CVSS v3.1