Vulnerabilidad en complemento WP EasyPay – Square para WordPress (CVE-2024-5861)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/07/2024
Última modificación:
29/07/2024
Descripción
El complemento WP EasyPay – Square para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función wpep_square_disconnect() en todas las versiones hasta la 4.2.3 incluida. Esto hace posible que atacantes no autenticados desconecten el cuadrado.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wpeasypay:wp_easypay:*:*:*:*:*:wordpress:*:* | 4.2.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/wp-easy-pay/trunk/modules/payments/square-authorization.php#L199
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3106655%40wp-easy-pay&new=3106655%40wp-easy-pay#file1
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3122946%40wp-easy-pay&new=3122946%40wp-easy-pay
- https://www.wordfence.com/threat-intel/vulnerabilities/id/446d458e-8b42-434e-a190-0af37a7d3afb?source=cve