Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en WooCommerce Customers Manager de WordPress (CVE-2024-0399)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
15/04/2024
Última modificación:
07/04/2025

Descripción

El complemento WooCommerce Customers Manager de WordPress anterior a la versión 29.7 no sanitiza ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL, lo que genera una inyección de SQL explotable por el rol Suscriptor+.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vanquish:woocommerce_customers_manager:*:*:*:*:*:wordpress:*:* 29.7 (excluyendo)