Vulnerabilidad en Customer Email Verification para WooCommerce para WordPress (CVE-2024-4185)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/04/2024
Última modificación:
30/04/2024
Descripción
El complemento Customer Email Verification para WooCommerce para WordPress es vulnerable a la verificación de correo electrónico y a la omisión de autenticación en todas las versiones hasta la 2.7.4 incluida mediante el uso de un código de activación insuficientemente aleatorio. Esto hace posible que los atacantes no autenticados omitan la verificación por correo electrónico, y si están marcadas las opciones "Iniciar sesión con el usuario automáticamente después de verificar la cuenta" y "Verificar cuenta para los usuarios actuales", entonces potencialmente hace posible que los atacantes eludan autenticación para otros usuarios.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/emails-verification-for-woocommerce/tags/2.7.4/includes/alg-wc-ev-functions.php#L299
- https://plugins.trac.wordpress.org/browser/emails-verification-for-woocommerce/tags/2.7.4/includes/class-alg-wc-ev-core.php#L731
- https://plugins.trac.wordpress.org/changeset/3078804/emails-verification-for-woocommerce#file2
- https://www.wordfence.com/threat-intel/vulnerabilities/id/ebae4b18-5b5f-45c3-86e2-02eefd7abdb7?source=cve