CVE-2024-9289
CVE-2024-9289
Título es
CVE-2024-9289
Mar, 01/10/2024 – 09:15
Tipo
CWE-288
Gravedad 2.0 Txt
Pendiente de análisis
Título en
CVE-2024-9289
Descripción es
El complemento WordPress & WooCommerce Affiliate Program para WordPress es vulnerable a la omisión de autenticación en todas las versiones hasta la 8.4.1 incluida. Esto se debe a que la función rtwwwap_login_request_callback() no valida correctamente la identidad de un usuario antes de autenticarlo en el sitio. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario, incluidos los administradores, siempre que tengan acceso al correo electrónico del administrador.
Descripción en
The WordPress & WooCommerce Affiliate Program plugin for WordPress is vulnerable to authentication bypass in all versions up to, and including, 8.4.1. This is due to the rtwwwap_login_request_callback() function not properly validating a user's identity prior to authenticating them to the site. This makes it possible for unauthenticated attackers to log in as any user, including administrators, granted they have access to the administrator's email.
01/10/2024
01/10/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
9.80
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
CRITICAL
Referencias
Enviar en el boletín
Off
