CVE-2024-11194
CVE-2024-11194
Título es
CVE-2024-11194
Mar, 19/11/2024 – 12:15
Tipo
CWE-862
Gravedad 2.0 Txt
Pendiente de análisis
Título en
CVE-2024-11194
Descripción es
El complemento Classified Listing – Classified ads & Business Directory Plugin para WordPress es vulnerable a la modificación no autorizada de datos que puede provocar una escalada de privilegios debido a una verificación mal configurada en la función 'rtcl_import_settings' en todas las versiones hasta la 3.1.15.1 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen opciones arbitrarias limitadas en el sitio de WordPress. Esto se puede aprovechar para actualizar el rol de suscriptor con capacidades de nivel de administrador para obtener acceso de usuario administrativo a un sitio vulnerable. La vulnerabilidad es limitada en el sentido de que la opción actualizada debe tener un valor que sea una matriz.
Descripción en
The Classified Listing – Classified ads & Business Directory Plugin plugin for WordPress is vulnerable to unauthorized modification of data that can lead to privilege escalation due to a misconfigured check on the 'rtcl_import_settings' function in all versions up to, and including, 3.1.15.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update limited arbitrary options on the WordPress site. This can be leveraged to update the Subscriber role with Administrator-level capabilities to gain administrative user access to a vulnerable site. The vulnerability is limited in that the option updated must have a value that is an array.
19/11/2024
19/11/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
8.80
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH
Referencias
Enviar en el boletín
Off
