Vulnerabilidad en Frontend Admin de DynamiApps para WordPress (CVE-2024-11721)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

14/12/2024

Última modificación:

05/06/2025

Descripción

El complemento Frontend Admin de DynamiApps para WordPress es vulnerable a la escalada de privilegios en todas las versiones hasta la 3.24.5 incluida. Esto se debe a que no hay suficientes controles en el campo de selección de rol de usuario cuando se utiliza el campo "Rol" en un formulario. Esto hace posible que atacantes no autenticados creen nuevas cuentas de usuario administrativo, incluso cuando el rol de usuario administrativo no se ha proporcionado como una opción para el usuario, siempre que se haya proporcionado acceso al formulario a usuarios no autenticados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto