Vulnerabilidad en UserPro para WordPress (CVE-2023-2440)
Severidad:
ALTA
Type:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
22/11/2023
Última modificación:
01/12/2023
Descripción
El complemento UserPro para WordPress es vulnerable a la Cross-Site Request Forgery en versiones hasta la 5.1.1 incluida. Esto se debe a que falta la validación nonce en las funciones 'admin_page', 'userpro_verify_user' y 'verifyUnverifyAllUsers'. Esto hace posible que atacantes no autenticados modifiquen la función de los usuarios verificados para elevar los privilegios de los usuarios verificados a los de cualquier usuario, como "administrador", a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace. .
Impacto
Puntuación base 3.x
8.80
Severidad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:userproplugin:userpro:*:*:*:*:*:wordpress:*:* | 5.1.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página