CVE-2022-1020
Woo Product Table < 3.1.2 - Unauthenticated Arbitrary Function Call
Em resumo
O plugin Woo Product Table, versão anterior a 3.1.2, permite que qualquer pessoa na internet execute funções arbitrárias no site sem autorização ou verificação. Um atacante pode explorar isso através de uma requisição especial para executar ações de código indesejadas.
Detalhe técnico
A ação AJAX wpt_admin_update_notice_option não possui verificações de autorização nem tokens CSRF, permitindo acesso não autenticado. O parâmetro callback não é validado, viabilizando a invocação de funções arbitrárias com zero ou um argumento controlado pelo usuário, resultando em potencial execução de código ou modificação de estado não autorizada.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Product Table for WooCommerce (wooproducttable) WordPress plugin before 3.1.2 does not have authorisation and CSRF checks in the wpt_admin_update_notice_option AJAX action (available to both unauthenticated and authenticated users), as well as does not validate the callback parameter, allowing unauthenticated attackers to call arbitrary functions with either none or one user controlled argument
Produtos afetados
Unknown · Product Table for WooCommerce (wooproducttable)Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →