Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en The Ultimate WordPress Toolkit – WP Extended para WordPress (CVE-2024-8121)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/09/2024
Última modificación:
06/09/2024

Descripción

El complemento The Ultimate WordPress Toolkit – WP Extended para WordPress es vulnerable a la modificación no autorizada de nombres de usuario debido a una falta de verificación de capacidad en la función wpext_change_admin_name() en todas las versiones hasta la 3.0.8 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, cambien el nombre de usuario de un administrador por un nombre de usuario de su agrado siempre que se haya utilizado el valor predeterminado "admin".

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:wpextended:wp_extended:*:*:*:*:*:wordpress:*:* 3.0.9 (excluyendo)