Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en varias de sus acciones AJAX en el plugin BP Better Messages de WordPress (CVE-2021-24809)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
01/11/2021
Última modificación:
09/11/2021

Descripción

El plugin BP Better Messages de WordPress versiones anteriores a 1.9.9. 41 no comprueba el CSRF en varias de sus acciones AJAX: bp_better_messages_leave_chat, bp_better_messages_join_chat, bp_messages_leave_thread, bp_messages_mute_thread, bp_messages_unmute_thread, bp_better_messages_add_user_to_thread, bp_better_messages_exclude_user_from_thread. Esto podría permitir a atacantes hacer que usuarios conectados realicen acciones no deseadas

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:wordplus:better_messages:*:*:*:*:*:wordpress:*:* 1.9.9.41 (excluyendo)