Vulnerabilidad en Restaurant Menu and Food Ordering para WordPress (CVE-2024-5459)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/06/2024
Última modificación:
13/06/2024
Descripción
El complemento Restaurant Menu and Food Ordering para WordPress es vulnerable a la creación no autorizada de datos debido a una falta de verificación de capacidad en las funciones 'add_section', 'add_menu', 'add_menu_item' y 'add_menu_page' en todas las versiones hasta la 2.4.16 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, creen secciones de menú, menús, alimentos y nuevas páginas de menú.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fivestarplugins:five_star_restaurant_menu:*:*:*:*:*:wordpress:*:* | 2.4.17 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/food-and-drink-menu/trunk/includes/class-installation-walkthrough.php#L111
- https://plugins.trac.wordpress.org/browser/food-and-drink-menu/trunk/includes/class-installation-walkthrough.php#L144
- https://plugins.trac.wordpress.org/browser/food-and-drink-menu/trunk/includes/class-installation-walkthrough.php#L62
- https://plugins.trac.wordpress.org/browser/food-and-drink-menu/trunk/includes/class-installation-walkthrough.php#L80
- https://plugins.trac.wordpress.org/changeset/3097599/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/03f9d9bb-6a87-4da9-bbb0-65203d7250e9?source=cve