Vulnerabilidad en Events Calendar Pro para WordPress (CVE-2024-8016)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

30/08/2024

Última modificación:

03/09/2024

Descripción

El complemento Events Calendar Pro para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 7.0.2 incluida, a través de la deserialización de la entrada no confiable del parámetro "filtros" en los widgets. Esto hace posible que los atacantes autenticados, con acceso de nivel de administrador y superior, inyecten un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes ejecutar código de forma remota. En ciertas configuraciones, esto puede ser explotado por usuarios de nivel inferior. Confirmamos que este complemento instalado con Elementor hace posible que los usuarios con acceso de nivel de colaborador y superior exploten este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto