Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Quiz Maker Business, Developer y Agency para WordPress (CVE-2024-10574)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/01/2025
Última modificación:
26/01/2025

Descripción

Los complementos Quiz Maker Business, Developer y Agency para WordPress son vulnerables a la modificación no autorizada de datos debido a una verificación de capacidad faltante en la función 'ays_save_google_credentials' en todas las versiones hasta incluida, 8.8.0 (Business), hasta incluidag, 21.8.0 (Developer) y hasta incluidang, 31.8.0 (Agency). Esto permite que atacantes no autenticados modifiquen las credenciales de integración de Google Sheets dentro de la configuración del complemento. Debido a que el parámetro 'client_id' no se desinfecta ni se escapa cuando se usa en la salida, esta vulnerabilidad también podría aprovecharse para inyectar scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.20
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información