Vulnerabilidad en ELEX WooCommerce Dynamic Pricing y Discounts para WordPress (CVE-2024-12266)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/12/2024
Última modificación:
24/12/2024
Descripción
El complemento ELEX WooCommerce Dynamic Pricing y Discounts para WordPress es vulnerable al acceso no autorizado a los datos debido a una falta de verificación de capacidad en las funciones elex_dp_export_rules() y elex_dp_import_rules() en todas las versiones hasta la 2.1.7 incluida. Esto hace posible que atacantes no autenticados importen y exporten reglas de productos junto con la obtención de datos phpinfo().
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/elex-woocommerce-dynamic-pricing-and-discounts/tags/2.1.7/admin/elex-exporter.php#L9
- https://plugins.trac.wordpress.org/browser/elex-woocommerce-dynamic-pricing-and-discounts/tags/2.1.7/admin/elex-importer.php#L8
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3211131%40elex-woocommerce-dynamic-pricing-and-discounts&new=3211131%40elex-woocommerce-dynamic-pricing-and-discounts#file7
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3211131%40elex-woocommerce-dynamic-pricing-and-discounts&new=3211131%40elex-woocommerce-dynamic-pricing-and-discounts#file8
- https://www.wordfence.com/threat-intel/vulnerabilities/id/063d452b-2a35-40aa-a002-ea55da778222?source=cve