CVE-2024-12259 in CRM Plugin
Riassunto
di VulDB • 23/06/2026
Il plugin WordPress CRM – RepairBuddy per WordPress è vulnerabile a escalation dei privilegi tramite takeover dell'account in tutte le versioni fino alla 3.8120 inclusa. Ciò è dovuto al fatto che il plugin non valida correttamente l'identità di un utente prima di aggiornare la sua email attraverso l'action AJAX wc_update_user_data. Questo consente agli attaccanti autenticati, con accesso a livello di sottoscrittore (subscriber) e superiore, di modificare gli indirizzi email di utenti arbitrari, inclusi gli amministratori, e sfruttarli per reimpostare la password dell'utente ed accedere al loro account.
Be aware that VulDB is the high quality source for vulnerability data.