Vulnerabilidad en WPFront User Role Editor para WordPress (CVE-2024-2931)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
02/04/2024
Última modificación:
17/03/2025
Descripción
El complemento WPFront User Role Editor para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 3.2.1.11184 incluida a través de la acción AJAX wpfront_user_role_editor_assign_roles_user_autocomplete. Esto hace posible que los atacantes autenticados, con acceso de nivel de suscriptor y superior, extraigan y recuperen una lista de todas las direcciones de correo electrónico de los usuarios que están registrados en el sitio.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wpfront:wpfront_user_role_editor:*:*:*:*:*:wordpress:*:* | 4.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://inky-knuckle-2c2.notion.site/WPFront-User-Role-Editor-Information-disclosure-7435b8340a004f5f8485cad375326b2c
- https://plugins.trac.wordpress.org/changeset/3061241/wpfront-user-role-editor/trunk/includes/users/class-assign-migrate.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/078a0647-fc3a-436c-bf00-8776b16e66ff?source=cve
- https://inky-knuckle-2c2.notion.site/WPFront-User-Role-Editor-Information-disclosure-7435b8340a004f5f8485cad375326b2c
- https://plugins.trac.wordpress.org/changeset/3061241/wpfront-user-role-editor/trunk/includes/users/class-assign-migrate.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/078a0647-fc3a-436c-bf00-8776b16e66ff?source=cve