Vulnerabilidad en Easy Digital Downloads para WordPress (CVE-2024-9654)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

17/12/2024

Última modificación:

17/12/2024

Descripción

El complemento Easy Digital Downloads para WordPress es vulnerable a la autorización incorrecta en las versiones 3.1 a 3.3.4. Esto se debe a la falta de suficientes comprobaciones de validación dentro de la función &#39;verify_guest_email&#39; para garantizar que el usuario solicitante sea el destinatario previsto del recibo de compra. Esto permite que atacantes no autenticados eludan las restricciones de seguridad previstas y vean los recibos de otros usuarios, que contienen un enlace para descargar contenido pago. Para explotar esta vulnerabilidad con éxito es necesario conocer la dirección de correo electrónico de otro cliente, así como el ID del archivo del contenido que compró.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.70 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

3.70

Gravedad 3.x

BAJA

Vulnerabilidad en Easy Digital Downloads para WordPress (CVE-2024-9654)

Descripción

Impacto

Referencias a soluciones, herramientas e información