Vulnerabilidad en Page Restriction WordPress (WP) – Protect WP Pages/Post para WordPress (CVE-2024-0681)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/03/2024
Última modificación:
11/03/2025
Descripción
El complemento Page Restriction WordPress (WP) – Protect WP Pages/Post para WordPress es vulnerable a la divulgación de información en todas las versiones hasta la 1.3.4 incluida. Esto se debe a que el complemento no restringe adecuadamente el acceso a las páginas a través de la API REST cuando una página se ha hecho privada. Esto hace posible que atacantes no autenticados vean páginas protegidas. El proveedor ha decidido que no implementará la protección de la API REST en publicaciones y páginas y que las restricciones solo se aplicarán al front-end del sitio. La solución del proveedor fue agregar avisos en todo el panel y recomienda instalar el complemento de autenticación de API REST de WordPress para la cobertura de API REST.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:miniorange:page_restriction:*:*:*:*:*:wordpress:*:* | 1.3.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3034414%40page-and-post-restriction&new=3034414%40page-and-post-restriction
- https://www.wordfence.com/threat-intel/vulnerabilities/id/a3e33a5c-df7c-4ef5-a59c-1c31abcda6d1?source=cve
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3034414%40page-and-post-restriction&new=3034414%40page-and-post-restriction
- https://www.wordfence.com/threat-intel/vulnerabilities/id/a3e33a5c-df7c-4ef5-a59c-1c31abcda6d1?source=cve