Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Page Restriction WordPress (WP) – Protect WP Pages/Post para WordPress (CVE-2024-0681)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/03/2024
Última modificación:
11/03/2025

Descripción

El complemento Page Restriction WordPress (WP) – Protect WP Pages/Post para WordPress es vulnerable a la divulgación de información en todas las versiones hasta la 1.3.4 incluida. Esto se debe a que el complemento no restringe adecuadamente el acceso a las páginas a través de la API REST cuando una página se ha hecho privada. Esto hace posible que atacantes no autenticados vean páginas protegidas. El proveedor ha decidido que no implementará la protección de la API REST en publicaciones y páginas y que las restricciones solo se aplicarán al front-end del sitio. La solución del proveedor fue agregar avisos en todo el panel y recomienda instalar el complemento de autenticación de API REST de WordPress para la cobertura de API REST.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:miniorange:page_restriction:*:*:*:*:*:wordpress:*:* 1.3.5 (excluyendo)