Vulnerabilidad en Business Directory (CVE-2026-1656)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/02/2026
Última modificación:
18/02/2026
Descripción
El plugin Business Directory para WordPress es vulnerable a una omisión de autorización debido a la falta de una verificación de autorización en todas las versiones hasta la 6.4.20, inclusive. Esto permite a atacantes no autenticados modificar listados arbitrarios, incluyendo el cambio de títulos, contenido y direcciones de correo electrónico, al referenciar directamente el ID del listado en solicitudes manipuladas a la acción AJAX wpbdp_ajax.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/business-directory-plugin/tags/6.4.20/includes/helpers/class-authenticated-listing-view.php#L20
- https://plugins.trac.wordpress.org/browser/business-directory-plugin/trunk/includes/helpers/class-authenticated-listing-view.php#L20
- https://plugins.trac.wordpress.org/changeset/3452627/business-directory-plugin/tags/6.4.21/includes/controllers/pages/class-submit-listing.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/f894ce75-168c-4baa-8cae-d2e7f1a0a9ab?source=cve