CVE

Vulnerabilidad en Build App Online para WordPress (CVE-2024-4186)

Severidad:
CRÍTICA
Type:
No Disponible / Otro tipo
Fecha de publicación:
07/05/2024
Última modificación:
07/05/2024

Descripción

El complemento Build App Online para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 3.0.5 incluida. Esto se debe a que el valor predeterminado 'eb_user_email_verification_key' está vacío y falta la marca de verificación no vacía en la función 'eb_user_email_verify'. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso a la identificación del usuario. Esto sólo se puede explotar si la configuración 'Verificación de correo electrónico' está habilitada.