Vulnerabilidad en HUSKY – Products Filter Professional para WooCommerce para WordPress (CVE-2024-7491)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/09/2024

Última modificación:

12/03/2025

Descripción

El complemento HUSKY – Products Filter Professional para WooCommerce para WordPress es vulnerable a la referencia directa a objetos inseguros en todas las versiones hasta la 1.3.6.1 incluida a través de la acción AJAX woof_messenger_remove_subscr debido a la falta de validación en la clave controlada por el usuario &#39;key&#39;. Esto hace posible que los atacantes autenticados, con acceso de nivel de suscriptor y superior, cancelen la suscripción de los usuarios a las notificaciones de productos, si pueden obtener o forzar con éxito el valor de la clave de los usuarios que se registraron para recibir notificaciones. Esta vulnerabilidad requiere que la extensión Products Messenger del complemento esté habilitada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno