Katalog CVE

CVE-2024-7350

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka BookingPress do WordPressa, odpowiedzialna za rezerwację wizyt, jest podatna na obejście uwierzytelnienia w wersjach od 1.1.6 do 1.1.7. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed zalogowaniem go po dokonaniu rezerwacji.

Ocena ryzyka

Atakujący, który nie jest uwierzytelniony, może zalogować się jako zarejestrowany użytkownik, w tym administrator, jeśli ma dostęp do adresu e-mail tego użytkownika. Ryzyko wzrasta, gdy włączona jest opcja 'Automatyczne logowanie użytkownika po udanej rezerwacji'.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wyłączenie opcji automatycznego logowania użytkowników po dokonaniu rezerwacji, aby zminimalizować ryzyko. Dodatkowo warto przeprowadzić audyt dostępu do kont użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Appointment Booking Calendar Plugin and Online Scheduling Plugin – BookingPress plugin for WordPress is vulnerable to authentication bypass in versions 1.1.6 to 1.1.7. This is due to the plugin not properly verifying a user's identity prior to logging them in when completing a booking. This makes it possible for unauthenticated attackers to log in as registered users, including administrators, if they have access to that user's email. This is only exploitable when the 'Auto login user after successful booking' setting is enabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS