Vulnerabilidad en Booking Calendar and Notification para WordPress (CVE-2024-13746)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/03/2025
Última modificación:
01/03/2025
Descripción
El complemento Booking Calendar and Notification para WordPress es vulnerable al acceso no autorizado, la modificación y la pérdida de datos debido a la falta de comprobaciones de capacidad en las funciones wpcb_all_bookings(), wpcb_update_booking_post() y wpcb_delete_posts() en todas las versiones hasta la 4.0.3 incluida. Esto permite que atacantes no autenticados extraigan datos, creen o actualicen reservas o eliminen publicaciones arbitrarias.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/booking-calendar-and-notification/tags/4.0.3/lib/includes/function.php
- https://plugins.trac.wordpress.org/browser/booking-calendar-and-notification/trunk/lib/classes/api.php#L134
- https://plugins.trac.wordpress.org/browser/booking-calendar-and-notification/trunk/lib/classes/api.php#L188
- https://plugins.trac.wordpress.org/browser/booking-calendar-and-notification/trunk/lib/classes/api.php#L270
- https://www.wordfence.com/threat-intel/vulnerabilities/id/422bb9a5-c848-4492-add7-bc65b1111565?source=cve