Vulnerabilidad en RSS Aggregator – RSS Import, News Feeds, Feed to Post, and Autoblogging para WordPress (CVE-2024-9583)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/10/2024
Última modificación:
25/10/2024
Descripción
El complemento RSS Aggregator – RSS Import, News Feeds, Feed to Post, and Autoblogging para WordPress es vulnerable al uso no autorizado de su funcionalidad debido a una falta de comprobación de capacidad en la función wprss_ajax_send_premium_support en todas las versiones hasta la 4.23.12 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, envíen solicitudes de soporte premium con una línea de asunto y una dirección de correo electrónico controladas por el atacante para suplantar la identidad del propietario del sitio. También se puede filtrar información de la licencia.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rebelcode:rss_aggregator:*:*:*:*:*:wordpress:*:* | 4.23.13 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-rss-aggregator/trunk/includes/admin-help.php#L274
- https://plugins.trac.wordpress.org/changeset/3168468/wp-rss-aggregator/trunk/includes/admin-help.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/126c77fa-11c5-431f-8fc9-0375ed6c8a91?source=cve