Vulnerabilidad en The WordPress Tour & Travel Booking Plugin for WooCommerce – WpTravelly para WordPress (CVE-2024-0434)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
29/05/2024
Última modificación:
15/04/2026
Descripción
El complemento The WordPress Tour & Travel Booking Plugin for WooCommerce – WpTravelly para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función 'ttbm_new_place_save' en todas las versiones hasta la 1.7.1 incluida. Esto hace posible que atacantes no autenticados creen y publiquen nuevas publicaciones en lugares. Esta función también es vulnerable a CSRF.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/tour-booking-manager/trunk/admin/settings/tour/TTBM_Settings_place_you_see.php#L225
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3092969%40tour-booking-manager%2Ftrunk&old=3091912%40tour-booking-manager%2Ftrunk&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e84d3e22-8568-4bdb-be9b-ffe78c69ec24?source=cve
- https://plugins.trac.wordpress.org/browser/tour-booking-manager/trunk/admin/settings/tour/TTBM_Settings_place_you_see.php#L225
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3092969%40tour-booking-manager%2Ftrunk&old=3091912%40tour-booking-manager%2Ftrunk&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e84d3e22-8568-4bdb-be9b-ffe78c69ec24?source=cve