CVE-2023-3507

MITJÀ: (4,3)

CVSS3: 3,8

El plugin WooCommerce Pre-Orders per WordPress és vulnerable a falsificacions d’ordres en llocs creuats. Aquestes estarien causades per la validació incorrecta de l’entrada proporcionada per l’usuari per la funcionalitat de cancel·lació de comandes anticipades. En persuadir a un usuari autenticat perquè visiti un lloc web maliciós, l’atacant remot podria enviar una sol·licitud HTTP malformada per realitzar accions no autoritzades. Un atacant podria aprofitar-se d’aquesta vulnerabilitat per realitzar atacs de seqüència d’ordres en llocs creuats, enverinament de la memòria CAU així com altres activitats malicioses.

Sistemes Afectats

• WordPress WooCommerce Pre-Orders Plugin for WordPress 2.0.2

Remediació
Actualitzeu a l’última versió del plugin WooCommerce Pre-Orders (2.0.3 o posterior), disponible al directori de plugins de WordPress. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://wpscan.com/vulnerability/e72bbe9b-e51d-40ab-820d-404e0cb86ee6
• https://wordpress.com/plugins/woocommerce-pre-orders
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3507