The Build App Online plugin for WordPress is vulnerable to unauthorized access in all versions up to, and including, 1.0.23. This is due to the plugin registering the 'build-app-online-update-vendor-product' AJAX action via wp_ajax_nopriv_ without proper authentication checks, capability verification, or nonce validation in the update_vendor_product() function. The function accepts a user-supplied post ID from the request and calls wp_update_post() to modify the post_author field without validating whether the user has permission to modify the specified post. This makes it possible for unauthenticated attackers to modify the post_author of arbitrary posts to 0 (orphaning posts from their legitimate authors), or for authenticated attackers to claim ownership of any post by setting themselves as the author.
The Build App Online WordPress plugin fails to properly authenticate AJAX requests, allowing unauthenticated attackers to modify post authorship on affected websites. This vulnerability enables attackers to orphan posts or claim ownership of arbitrary content without proper authorization.
تفتقر إضافة Build App Online للتحقق من المصادقة والتفويض في دالة update_vendor_product()، مما يسمح للمهاجمين غير المصرح لهم بتعديل مؤلف أي منشور. يمكن للمهاجمين إما حذف المنشورات من مؤلفيها الشرعيين أو المطالبة بملكية المحتوى من خلال تعيين أنفسهم كمؤلفين.
The Build App Online WordPress plugin fails to properly authenticate AJAX requests, allowing unauthenticated attackers to modify post authorship on affected websites. This vulnerability enables attackers to orphan posts or claim ownership of arbitrary content without proper authorization.
Update the Build App Online plugin to version 1.0.24 or later immediately. If immediate patching is not possible, disable the plugin until an update is available. Implement Web Application Firewall (WAF) rules to block requests to the vulnerable AJAX action 'build-app-online-update-vendor-product'. Review post authorship logs for unauthorized changes and restore legitimate authors where necessary.
قم بتحديث إضافة Build App Online إلى الإصدار 1.0.24 أو أحدث على الفور. إذا لم يكن التحديث الفوري ممكناً، قم بتعطيل الإضافة حتى يتوفر تحديث. طبق قواعد جدار الحماية لتطبيقات الويب لحظر الطلبات إلى إجراء AJAX الضعيف. راجع سجلات تأليف المنشورات للتحقق من التغييرات غير المصرح بها واستعد الملاك الشرعيين حيث لزم الأمر.