Плагин PeproDev Ultimate Invoice WordPress до версии 2.2.5 имеет действие массовой загрузки счетов, которое создает ZIP-архивы, содержащие экспортированные PDF-файлы счетов. ZIP-файлы имеют предсказуемые имена, что позволяет перебором и получением личных данных.
Показать оригинальное описание (EN)
The PeproDev Ultimate Invoice WordPress plugin through 2.2.5 has a bulk download invoices action that generates ZIP archives containing exported invoice PDFs. The ZIP files are named predictably making it possible to brute force and retreive PII.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1