CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2024-1375 – Event post <= 5.9.5 - Cross-Site Request Forgery
https://notcve.org/view.php?id=CVE-2024-1375
The Event post plugin for WordPress is vulnerable to unauthorized bulk metadata update due to a missing nonce check on the save_bulkdatas function in all versions up to, and including, 5.9.5. This makes it possible for unauthenticated attackers to update post_meta_data via a forged request, granted they can trick a logged-in user into performing an action such as clicking on a link. El complemento Event post para WordPress es vulnerable a actualizaciones masivas de metadatos no autorizadas debido a la falta de una verificación nonce en la función save_bulkdatas en todas las versiones hasta la 5.9.5 incluida. Esto hace posible que atacantes no autenticados actualicen post_meta_data a través de una solicitud falsificada, siempre que puedan engañar a un usuario que ha iniciado sesión para que realice una acción como hacer clic en un enlace. The Event post plugin for WordPress is vulnerable to unauthorized bulk metadata update due to a missing nonce check on the save_bulkdatas function in all versions up to, and including, 5.9.6. • https://plugins.trac.wordpress.org/browser/event-post/trunk/eventpost.php?rev=3086840#L2446 https://www.wordfence.com/threat-intel/vulnerabilities/id/964950dc-d8e1-4a9b-bef2-ea51abc5a925?source=cve • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2024-1376 – Event post <= 5.9.4 - Missing Authorization
https://notcve.org/view.php?id=CVE-2024-1376
The Event post plugin for WordPress is vulnerable to unauthorized bulk metadata update due to a missing capability check on the save_bulkdatas function in all versions up to, and including, 5.9.4. This makes it possible for authenticated attackers, with subscriber access or higher, to update post_meta_data. El complemento Event post para WordPress es vulnerable a actualizaciones masivas de metadatos no autorizadas debido a una falta de verificación de capacidad en la función save_bulkdatas en todas las versiones hasta la 5.9.4 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, actualicen post_meta_data. • https://plugins.trac.wordpress.org/changeset/3086840/event-post/trunk/eventpost.php?old=3060317&old_path=event-post%2Ftrunk%2Feventpost.php https://www.wordfence.com/threat-intel/vulnerabilities/id/926c09d5-3824-4745-99f6-50d9c945d252?source=cve • CWE-284: Improper Access Control •