Vulnerabilidad en Remember Me Controls para WordPress (CVE-2024-7415)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/09/2024
Última modificación:
30/09/2024
Descripción
El complemento Remember Me Controls para WordPress es vulnerable a la divulgación de ruta completa en todas las versiones hasta la 2.0.1 incluida. Esto se debe a que el complemento permite el acceso directo al archivo bootstrap.php que tiene la función display_errors activada. Esto permite que atacantes no autenticados recuperen la ruta completa de la aplicación web, que puede utilizarse para facilitar otros ataques. La información mostrada no es útil por sí sola y requiere que exista otra vulnerabilidad para que se produzcan daños en un sitio web afectado.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:coffee2code:remember_me_controls:*:*:*:*:*:wordpress:*:* | 2.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/remember-me-controls/tags/2.0.1/tests/phpunit/bootstrap.php
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3146603%40remember-me-controls&new=3146603%40remember-me-controls
- https://www.wordfence.com/threat-intel/vulnerabilities/id/01707346-86c2-45c8-a2c9-81a147506fa4?source=cve