CVE

Vulnerabilidad en Events Calendar Pro para WordPress (CVE-2024-8016)

Severidad:
CRÍTICA
Type:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
30/08/2024
Última modificación:
30/08/2024

Descripción

El complemento Events Calendar Pro para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 7.0.2 incluida, a través de la deserialización de la entrada no confiable del parámetro "filtros" en los widgets. Esto hace posible que los atacantes autenticados, con acceso de nivel de administrador y superior, inyecten un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes ejecutar código de forma remota. En ciertas configuraciones, esto puede ser explotado por usuarios de nivel inferior. Confirmamos que este complemento instalado con Elementor hace posible que los usuarios con acceso de nivel de colaborador y superior exploten este problema.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.10
Severidad 3.x
CRÍTICA

Referencias a soluciones, herramientas e información