Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en WooCommerce Wishlist para WordPress (CVE-2024-13694)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-285 Autorización incorrecta
Fecha de publicación:
30/01/2025
Última modificación:
04/02/2025

Descripción

El complemento WooCommerce Wishlist (alta personalización, configuración rápida, lista de deseos gratuita de Elementor, la mayoría de las funciones) para WordPress es vulnerable a la referencia directa a objetos inseguros en todas las versiones hasta incluida, 1.8.7 a través de la función download_pdf_file() debido a la falta de validación en una clave controlada por el usuario. Esto permite que atacantes no autenticados extraigan datos de listas de deseos a los que no deberían tener acceso.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:moreconvert:woocommerce_wishlist:*:*:*:*:*:wordpress:*:* 1.8.8 (excluyendo)