Vulnerabilidad en Appointment Booking Calendar Plugin and Online Scheduling Plugin – BookingPress para WordPress (CVE-2024-7350)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

08/08/2024

Última modificación:

08/08/2024

Descripción

El complemento Appointment Booking Calendar Plugin and Online Scheduling Plugin – BookingPress para WordPress es vulnerable a la omisión de autenticación en las versiones 1.1.6 a 1.1.7. Esto se debe a que el complemento no verifica adecuadamente la identidad del usuario antes de iniciar sesión al completar una reserva. Esto hace posible que atacantes no autenticados inicien sesión como usuarios registrados, incluidos administradores, si tienen acceso al correo electrónico de ese usuario. Esto solo se puede explotar cuando la configuración "Inicio de sesión automático de usuario después de una reserva exitosa" está habilitada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vulnerabilidad en Appointment Booking Calendar Plugin and Online Scheduling Plugin – BookingPress para WordPress (CVE-2024-7350)

Descripción

Impacto

Referencias a soluciones, herramientas e información