Vulnerabilidad en complemento Ultimate WordPress Auction Plugin para WordPress (CVE-2024-6591)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/07/2024
Última modificación:
08/04/2026
Descripción
El complemento Ultimate WordPress Auction Plugin para WordPress es vulnerable a la creación y envío de correo electrónico no autorizado debido a una falta de verificación de capacidad en las funciones 'send_auction_email_callback' y 'resend_auction_email_callback' en todas las versiones hasta la 4.2.6 incluida. Esto hace posible que atacantes no autenticados creen correos electrónicos que incluyan enlaces y los envíen a cualquier dirección de correo electrónico.
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/changeset/3132812/ultimate-auction/trunk/ultimate-auction.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/534a5d1d-cc34-4d84-b3a3-bf2282718656?source=cve
- https://plugins.trac.wordpress.org/browser/ultimate-auction/trunk/ultimate-auction.php#L119
- https://plugins.trac.wordpress.org/browser/ultimate-auction/trunk/ultimate-auction.php#L93
- https://www.wordfence.com/threat-intel/vulnerabilities/id/534a5d1d-cc34-4d84-b3a3-bf2282718656?source=cve