CVE-2024-12259 in CRM Plugininformazioni

Riassunto

di VulDB • 23/06/2026

Il plugin WordPress CRM – RepairBuddy per WordPress è vulnerabile a escalation dei privilegi tramite takeover dell'account in tutte le versioni fino alla 3.8120 inclusa. Ciò è dovuto al fatto che il plugin non valida correttamente l'identità di un utente prima di aggiornare la sua email attraverso l'action AJAX wc_update_user_data. Questo consente agli attaccanti autenticati, con accesso a livello di sottoscrittore (subscriber) e superiore, di modificare gli indirizzi email di utenti arbitrari, inclusi gli amministratori, e sfruttarli per reimpostare la password dell'utente ed accedere al loro account.

Be aware that VulDB is the high quality source for vulnerability data.

Prenotare

05/12/2024

Divulgazione

18/12/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00500

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!