CVE-2024-8911
CVE-2024-8911
Título es
CVE-2024-8911
Mar, 08/10/2024 – 09:15
Tipo
CWE-89
Gravedad 2.0 Txt
Pendiente de análisis
Título en
CVE-2024-8911
Descripción es
El complemento LatePoint para WordPress es vulnerable al cambio arbitrario de contraseñas de usuarios mediante inyección SQL en versiones hasta la 5.0.11 incluida. Esto se debe a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes no autenticados cambien las contraseñas de los usuarios y potencialmente se apropien de las cuentas de administrador. Tenga en cuenta que cambiar la contraseña de un usuario de WordPress solo es posible si está habilitada la configuración "Usar usuarios de WordPress como clientes", que está deshabilitada de forma predeterminada. Sin esta configuración habilitada, solo se pueden modificar las contraseñas de los clientes del complemento, que se almacenan y administran en una tabla de base de datos separada.
Descripción en
The LatePoint plugin for WordPress is vulnerable to Arbitrary User Password Change via SQL Injection in versions up to, and including, 5.0.11. This is due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to change user passwords and potentially take over administrator accounts. Note that changing a WordPress user's password is only possible if the "Use WordPress users as customers" setting is enabled, which is disabled by default. Without this setting enabled, only the passwords of plugin customers, which are stored and managed in a separate database table, can be modified.
08/10/2024
08/10/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
9.80
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
CRITICAL
Referencias
Enviar en el boletín
Off
