Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Frontend Admin de DynamiApps para WordPress (CVE-2024-11721)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
14/12/2024
Última modificación:
05/06/2025

Descripción

El complemento Frontend Admin de DynamiApps para WordPress es vulnerable a la escalada de privilegios en todas las versiones hasta la 3.24.5 incluida. Esto se debe a que no hay suficientes controles en el campo de selección de rol de usuario cuando se utiliza el campo "Rol" en un formulario. Esto hace posible que atacantes no autenticados creen nuevas cuentas de usuario administrativo, incluso cuando el rol de usuario administrativo no se ha proporcionado como una opción para el usuario, siempre que se haya proporcionado acceso al formulario a usuarios no autenticados.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:dynamiapps:frontend_admin:*:*:*:*:*:wordpress:*:* 3.25.1 (excluyendo)