Vulnerabilidad en Cost Calculator Builder PRO para WordPress (CVE-2024-6010)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/09/2024
Última modificación:
23/10/2024
Descripción
El complemento Cost Calculator Builder PRO para WordPress es vulnerable a la manipulación de precios en todas las versiones hasta la 3.1.96 incluida. Esto se debe a que el complemento permite manipular el campo de precio antes del procesamiento a través de la función 'create_cc_order', llamada desde el complemento Cost Calculator Builder. Esto hace posible que atacantes no autenticados manipulen el precio de los pedidos enviados a través de la calculadora. Nota: esta vulnerabilidad fue parcialmente corregida con el lanzamiento de la versión 3.2.17 de Cost Calculator Builder.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:stylemixthemes:cost_calculator_builder:*:*:*:*:pro:wordpress:*:* | 3.1.96 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.stylemixthemes.com/cost-calculator-builder/changelog-1/changelog-pro-version
- https://plugins.trac.wordpress.org/browser/cost-calculator-builder/trunk/frontend/dist/order.js
- https://plugins.trac.wordpress.org/changeset/3172590/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/fc04e676-e394-488e-a239-95af5f865613?source=cve