Vulnerabilidad en Login Lockdown – Protect Login Form para WordPress (CVE-2024-1340)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/02/2024
Última modificación:
27/02/2025
Descripción
El complemento Login Lockdown – Protect Login Form para WordPress es vulnerable al acceso no autorizado a los datos debido a una falta de verificación de capacidad en la función generate_export_file en todas las versiones hasta la 2.08 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, exporten la configuración de este complemento que incluye direcciones IP incluidas en la lista blanca, así como una clave de desbloqueo global. Con la clave de desbloqueo global, un atacante puede agregar su dirección IP a la lista blanca.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:webfactoryltd:wp_login_lockdown:*:*:*:*:*:wordpress:*:* | 2.09 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/login-lockdown/trunk/libs/functions.php#L492
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3033542%40login-lockdown/trunk&old=3027788%40login-lockdown/trunk
- https://www.wordfence.com/threat-intel/vulnerabilities/id/34021007-b5d3-479b-a0d4-50e301f22c9c?source=cve
- https://plugins.trac.wordpress.org/browser/login-lockdown/trunk/libs/functions.php#L492
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&new=3033542%40login-lockdown/trunk&old=3027788%40login-lockdown/trunk
- https://www.wordfence.com/threat-intel/vulnerabilities/id/34021007-b5d3-479b-a0d4-50e301f22c9c?source=cve