Vulnerabilidad en Directorist: AI-Powered Business Directory Plugin with Classified Ads Listings para WordPress (CVE-2025-2224)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/03/2025
Última modificación:
27/03/2025
Descripción
El complemento Directorist: AI-Powered Business Directory Plugin with Classified Ads Listings para WordPress es vulnerable al acceso y la modificación no autorizados de datos debido a la falta de una comprobación de la función "parse_query" en todas las versiones hasta la 8.2 incluida. Esto permite que atacantes no autenticados actualicen el estado de cualquier publicación a "publicar".
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/directorist/trunk/includes/classes/class-add-listing.php#L912
- https://plugins.trac.wordpress.org/browser/directorist/trunk/includes/classes/class-add-listing.php#L942
- https://plugins.trac.wordpress.org/browser/directorist/trunk/includes/classes/class-add-listing.php#L960
- https://plugins.trac.wordpress.org/changeset/3260639/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/684e6a97-b884-4d25-99f1-81c2a43f1239?source=cve