Vulnerabilidad en Customer Email Verification for WooCommerce para WordPress (CVE-2024-13528)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

12/02/2025

Última modificación:

18/02/2025

Descripción

El complemento Customer Email Verification for WooCommerce para WordPress es vulnerable a la omisión de autenticación en todas las versiones hasta la 2.9.5 incluida. Esto se debe a la presencia de un código corto que generará un enlace de confirmación con un correo electrónico de marcador de posición. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, generen un enlace de verificación para cualquier usuario no verificado e inicien sesión en la cuenta. La opción "Ajustar la ubicación" debe estar habilitada en la configuración del complemento para aprovechar la vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto