Vulnerabilidad en Plugin ACF Photo Gallery Field para WordPress (CVE-2023-3957)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-285
Autorización incorrecta
Fecha de publicación:
27/07/2023
Última modificación:
08/04/2026
Descripción
El plugin ACF Photo Gallery Field para WordPress es vulnerable a la modificación no autorizada de datos debido a una restricción insuficiente de la función "apg_profile_update" en las versiones hasta la 1.9 inclusive. Esto hace posible que atacantes autenticados, con permisos de nivel de suscriptor o superior actualicen la información de usuario arbitrariamente. El valor de la información sólo puede ser una cadena.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:navz:acf_photo_gallery_field:*:*:*:*:*:wordpress:*:* | 1.9 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/navz-photo-gallery/tags/1.9/includes/acf_photo_gallery_save.php#L42
- https://plugins.trac.wordpress.org/changeset/2943404/navz-photo-gallery#file0
- https://www.wordfence.com/threat-intel/vulnerabilities/id/689511e0-1355-4fcb-8a72-d819abc8e9a3?source=cve
- https://plugins.trac.wordpress.org/browser/navz-photo-gallery/tags/1.9/includes/acf_photo_gallery_save.php#L42
- https://plugins.trac.wordpress.org/changeset/2943404/navz-photo-gallery#file0
- https://www.wordfence.com/threat-intel/vulnerabilities/id/689511e0-1355-4fcb-8a72-d819abc8e9a3?source=cve