Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Login Lockdown – Protect Login Form para WordPress (CVE-2024-1340)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/02/2024
Última modificación:
27/02/2025

Descripción

El complemento Login Lockdown – Protect Login Form para WordPress es vulnerable al acceso no autorizado a los datos debido a una falta de verificación de capacidad en la función generate_export_file en todas las versiones hasta la 2.08 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, exporten la configuración de este complemento que incluye direcciones IP incluidas en la lista blanca, así como una clave de desbloqueo global. Con la clave de desbloqueo global, un atacante puede agregar su dirección IP a la lista blanca.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:webfactoryltd:wp_login_lockdown:*:*:*:*:*:wordpress:*:* 2.09 (excluyendo)