Vulnerabilidad en FULL – Cliente para WordPress (CVE-2024-6447)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
11/07/2024
Última modificación:
08/04/2026
Descripción
El complemento FULL – Cliente para WordPress es vulnerable a Cross Site Scripting almacenado a través del parámetro license plan en todas las versiones hasta la 3.1.12 incluida debido a una sanitización de entrada y un escape de salida insuficientes, así como a la falta de autorización y comprobaciones de capacidad en el funciones relacionadas. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios que se ejecutarán cada vez que un usuario administrativo acceda al panel de administración de wp.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/full-customer/tags/3.1.12/app/api/Connection.php#L43
- https://plugins.trac.wordpress.org/browser/full-customer/tags/3.1.12/app/controller/actions.php#L125
- https://plugins.trac.wordpress.org/browser/full-customer/tags/3.1.12/app/controller/inc/License.php#L55
- https://www.wordfence.com/threat-intel/vulnerabilities/id/2f3ad1e0-1ae3-44cd-aa2a-dbb3a1b531f9?source=cve
- https://plugins.trac.wordpress.org/browser/full-customer/tags/3.1.12/app/api/Connection.php#L43
- https://plugins.trac.wordpress.org/browser/full-customer/tags/3.1.12/app/controller/actions.php#L125
- https://plugins.trac.wordpress.org/browser/full-customer/tags/3.1.12/app/controller/inc/License.php#L55
- https://www.wordfence.com/threat-intel/vulnerabilities/id/2f3ad1e0-1ae3-44cd-aa2a-dbb3a1b531f9?source=cve