Vulnerabilidad en WP BASE Booking of Appointments, Services and Events para WordPress (CVE-2024-12558)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/12/2024
Última modificación:
21/12/2024
Descripción
El complemento WP BASE Booking of Appointments, Services and Events para WordPress es vulnerable al acceso no autorizado a los datos debido a una falta de verificación de capacidad en la función export_db en todas las versiones hasta la 4.9.2 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, expongan información confidencial de la base de datos, como la contraseña de administrador cifrada.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-base-booking-of-appointments-services-and-events/tags/4.9.2/includes/freeons/export-import.php
- https://plugins.trac.wordpress.org/changeset/3210164/wp-base-booking-of-appointments-services-and-events/tags/5.0.0/includes/freeons/export-import.php?old=3207827&old_path=wp-base-booking-of-appointments-services-and-events/tags/4.9.2/includes/freeons/export-import.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/09831b2f-8f79-4833-8fc6-f1af56c6abc8?source=cve