Vulnerabilidad en Multiple Page Generator Plugin – MPG para WordPress (CVE-2024-7424)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
01/11/2024
Última modificación:
01/11/2024
Descripción
El complemento Multiple Page Generator Plugin – MPG para WordPress es vulnerable a la modificación y el acceso no autorizados a los datos debido a la falta de una comprobación de capacidad en varias funciones en todas las versiones hasta la 4.0.1 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, invoquen aquellas funciones destinadas al uso administrativo, lo que permite que los suscriptores carguen archivos csv y vean el contenido de los proyectos MPG.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/multiple-pages-generator-by-porthas/trunk/controllers/DatasetController.php#L261
- https://plugins.trac.wordpress.org/browser/multiple-pages-generator-by-porthas/trunk/models/ProjectModel.php#L286
- https://plugins.trac.wordpress.org/changeset/3174918/multiple-pages-generator-by-porthas/trunk/controllers/DatasetController.php
- https://plugins.trac.wordpress.org/changeset/3174918/multiple-pages-generator-by-porthas/trunk/models/ProjectModel.php
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3178830%40multiple-pages-generator-by-porthas/trunk&old=3174918%40multiple-pages-generator-by-porthas/trunk
- https://www.wordfence.com/threat-intel/vulnerabilities/id/860848c1-dd67-4baf-a571-bc866c5f12f8?source=cve