Vulnerabilidad en Limit Login Attempts Plus para WordPress (CVE-2022-4533)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
19/09/2024
Última modificación:
25/09/2024
Descripción
El complemento Limit Login Attempts Plus para WordPress es vulnerable a la suplantación de direcciones IP en versiones hasta la 1.1.0 incluida. Esto se debe a restricciones insuficientes sobre dónde se recupera la información de la dirección IP para el registro de solicitudes y las restricciones de inicio de sesión. Los atacantes pueden proporcionar el encabezado X-Forwarded-For con una dirección IP diferente que se registrará y se puede usar para eludir configuraciones que pueden haber bloqueado el inicio de sesión de una dirección IP o un país.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:felixmoira:limit_login_attempts_plus:*:*:*:*:*:wordpress:*:* | 1.1.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página