CVE-2021-24695
Simple Download Monitor < 3.9.6 - Unauthenticated Log Access
Em resumo
O plugin Simple Download Monitor salva registros de downloads em um local fácil de adivinhar sem exigir login. Qualquer pessoa na internet pode acessar esses registros e ver informações sensíveis como endereços IP e nomes de usuários.
Detalhe técnico
CWE-425 (Requisição Direta): O plugin armazena logs em um diretório previsível sem verificações de autenticação, permitindo que usuários não autenticados acessem e baixem arquivos contendo endereços IP e nomes de usuários. Não há pré-requisito de autenticação; o atacante precisa apenas conhecer a localização do arquivo de log.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Simple Download Monitor WordPress plugin before 3.9.6 saves logs in a predictable location, and does not have any authentication or authorisation in place to prevent unauthenticated users to download and read the logs containing Sensitive Information such as IP Addresses and Usernames
Produtos afetados
Unknown · Simple Download MonitorQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →