Плагин Happy Addons for Elementor для WordPress уязвим к небезопасной прямой ссылке на объект во всех версиях до 3.21.0 включительно через обработчик действий администратора ha_duplate_thing. Это связано с тем, что метод `can_clone()` проверяет только `current_user_can('edit_posts')` (общая возможность) без выполнения авторизации на уровне объекта, такой как `current_user_can('edit_post', $post_id)`, а nonce привязан к общему имени действия `ha_duplate_thing`, а не к конкретному идентификатору сообщения. Это позволяет аутентифицированным злоумышленникам с доступом на уровне участника и выше клонировать любую опубликованную публикацию, страницу или пользовательский тип публикации, получая действительный одноразовый номер клонирования из своих собственных публикаций и изменяя параметр post_id для ориентации на контент других пользователей.
Операция клонирования копирует весь контент публикации, все метаданные публикации (включая потенциально конфиденциальные конфигурации виджетов и токены API) и таксономии в новый черновик, принадлежащий злоумышленнику.
Показать оригинальное описание (EN)
The Happy Addons for Elementor plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 3.21.0 via the `ha_duplicate_thing` admin action handler. This is due to the `can_clone()` method only checking `current_user_can('edit_posts')` (a general capability) without performing object-level authorization such as `current_user_can('edit_post', $post_id)`, and the nonce being tied to the generic action name `ha_duplicate_thing` rather than to a specific post ID. This makes it possible for authenticated attackers, with Contributor-level access and above, to clone any published post, page, or custom post type by obtaining a valid clone nonce from their own posts and changing the `post_id` parameter to target other users' content. The clone operation copies the full post content, all post metadata (including potentially sensitive widget configurations and API tokens), and taxonomies into a new draft owned by the attacker.
Характеристики атаки
Последствия
Строка CVSS v3.1