Vulnerabilidad en las comprobaciones de nonce en el plugin Compact WP Audio Player de WordPress (CVE-2021-24735)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
18/10/2021
Última modificación:
22/10/2021
Descripción
El plugin Compact WP Audio Player de WordPress versiones anteriores a 1.9.7, no implementa comprobaciones de nonce, que podría permitir a atacantes hacer que un administrador conectado cambie el ajuste "Disable Simultaneous Play" por medio de un ataque de tipo CSRF
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:tipsandtricks-hq:compact_wp_audio_player:*:*:*:*:*:wordpress:*:* | 1.9.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página