Vulnerabilidad en Countdown, Coming Soon, Maintenance – Countdown & Clock para WordPress (CVE-2024-2017)
Severidad:
MEDIA
Type:
No Disponible / Otro tipo
Fecha de publicación:
06/06/2024
Última modificación:
25/07/2024
Descripción
El complemento Countdown, Coming Soon, Maintenance – Countdown & Clock para WordPress es vulnerable al acceso no autorizado debido a una falta de verificación de capacidad en las funciones conditionRow y switchCountdown en todas las versiones hasta la 2.7.8 incluida. Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor y superior, inyecten objetos PHP y modifiquen el estado de las cuentas regresivas.
Impacto
Puntuación base 3.x
5.40
Severidad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:edmonsoft:countdown_builder:*:*:*:*:*:wordpress:*:* | 2.7.8.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/countdown-builder/trunk/classes/Ajax.php#L51
- https://plugins.trac.wordpress.org/browser/countdown-builder/trunk/classes/Ajax.php#L92
- https://plugins.trac.wordpress.org/changeset/3096150/
- https://plugins.trac.wordpress.org/changeset/3097588/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/d8fab229-cd6b-45a3-9e80-a03a1704ad3e?source=cve