CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-7350

Critical
Published: Translated: NVD NIST

Summary

Wtyczka BookingPress do WordPressa, odpowiedzialna za rezerwację wizyt, jest podatna na obejście uwierzytelnienia w wersjach od 1.1.6 do 1.1.7. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed zalogowaniem go po dokonaniu rezerwacji.

Risk Assessment

Atakujący, który nie jest uwierzytelniony, może zalogować się jako zarejestrowany użytkownik, w tym administrator, jeśli ma dostęp do adresu e-mail tego użytkownika. Ryzyko wzrasta, gdy włączona jest opcja 'Automatyczne logowanie użytkownika po udanej rezerwacji'.

Recommendation

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wyłączenie opcji automatycznego logowania użytkowników po dokonaniu rezerwacji, aby zminimalizować ryzyko. Dodatkowo warto przeprowadzić audyt dostępu do kont użytkowników.

Original NVD description (English source)

The Appointment Booking Calendar Plugin and Online Scheduling Plugin – BookingPress plugin for WordPress is vulnerable to authentication bypass in versions 1.1.6 to 1.1.7. This is due to the plugin not properly verifying a user's identity prior to logging them in when completing a booking. This makes it possible for unauthenticated attackers to log in as registered users, including administrators, if they have access to that user's email. This is only exploitable when the 'Auto login user after successful booking' setting is enabled.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS