CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-0451 – AI ChatBot <= 5.3.4 - Missing Authorization via openai_file_list_callback
https://notcve.org/view.php?id=CVE-2024-0451
The AI ChatBot plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the openai_file_list_callback function in all versions up to, and including, 5.3.4. This makes it possible for authenticated attackers, with subscriber-level access and above, to list files existing in a linked OpenAI account. El complemento AI ChatBot para WordPress es vulnerable al acceso no autorizado a los datos debido a una falta de verificación de capacidad en la función openai_file_list_callback en todas las versiones hasta la 5.3.4 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, enumeren los archivos existentes en una cuenta OpenAI vinculada. • https://plugins.trac.wordpress.org/browser/chatbot/trunk/includes/openai/qcld-bot-openai.php#L175 https://plugins.trac.wordpress.org/changeset/3089461/chatbot/trunk/includes/openai/qcld-bot-openai.php https://www.wordfence.com/threat-intel/vulnerabilities/id/1c0572a5-6cc9-43ab-a4a3-c8d3b93c8fcf?source=cve • CWE-284: Improper Access Control •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-0452 – AI ChatBot <= 5.3.4 - Missing Authorization via openai_file_upload_callback
https://notcve.org/view.php?id=CVE-2024-0452
The AI ChatBot plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the openai_file_upload_callback function in all versions up to, and including, 5.3.4. This makes it possible for authenticated attackers, with subscriber-level access and above, to upload files to a linked OpenAI account. El complemento AI ChatBot para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función openai_file_upload_callback en todas las versiones hasta la 5.3.4 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, carguen archivos en una cuenta OpenAI vinculada. • https://plugins.trac.wordpress.org/browser/chatbot/trunk/includes/openai/qcld-bot-openai.php#L208 https://plugins.trac.wordpress.org/changeset/3089461/chatbot/trunk/includes/openai/qcld-bot-openai.php https://www.wordfence.com/threat-intel/vulnerabilities/id/34b6475c-b5dd-42a1-98d1-9b5ae9ff4ad5?source=cve • CWE-284: Improper Access Control •
CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0CVE-2024-0453 – AI ChatBot <= 5.3.4 - Missing Authorization via openai_file_delete_callback
https://notcve.org/view.php?id=CVE-2024-0453
The AI ChatBot plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the openai_file_delete_callback function in all versions up to, and including, 5.3.4. This makes it possible for authenticated attackers, with subscriber-level access and above, to delete files from a linked OpenAI account. El complemento AI ChatBot para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función openai_file_delete_callback en todas las versiones hasta la 5.3.4 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, eliminen archivos de una cuenta OpenAI vinculada. • https://plugins.trac.wordpress.org/browser/chatbot/trunk/includes/openai/qcld-bot-openai.php#L133 https://plugins.trac.wordpress.org/changeset/3089461/chatbot/trunk/includes/openai/qcld-bot-openai.php https://www.wordfence.com/threat-intel/vulnerabilities/id/7e0ef4a5-42d7-4cea-b19f-51917e3ee55f?source=cve • CWE-284: Improper Access Control •