CVE-2024-13776

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-13776
The ZoomSounds - WordPress Wave Audio Player with Playlist plugin for WordPress is vulnerable to unauthorized modification of data that can lead to a denial of service due to a missing capability check on the 'dzsap_delete_notice' AJAX action in all versions up to, and including, 6.91. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update option values to 'seen' on the WordPress site. This can be leveraged to update an option that would create an error on the site and deny service to legitimate users or be used to set some values to true such as registration. There are several other functions also vulnerable to missing authorization.

8.1 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://codecanyon.net/item/zoomsounds-wordpress-wave-audio-player-with-playlist/6181433
https://www.wordfence.com/threat-intel/vulnerabilities/id/0c8e538b-7157-42d3-abee-8259c6715cd5?source=cve
Configurations

No configuration.

History

07 Apr 2025, 14:17

Type Values Removed Values Added
Summary
  • (es) El complemento ZoomSounds - WordPress Wave Audio Player with Playlist para WordPress es vulnerable a la modificación no autorizada de datos, lo que puede provocar una denegación de servicio debido a la falta de comprobación de capacidad en la acción AJAX «dzsap_delete_notice» en todas las versiones hasta la 6.91 incluida. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, actualizar los valores de las opciones a «visto» en el sitio de WordPress. Esto puede aprovecharse para actualizar una opción que genere un error en el sitio y deniegue el servicio a usuarios legítimos, o para establecer algunos valores como verdaderos, como el registro. Existen otras funciones también vulnerables a la falta de autorización.

05 Apr 2025, 06:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-04-05 06:15

Updated : 2025-04-07 14:17

NVD link : CVE-2024-13776

Mitre link : CVE-2024-13776

CVE.ORG link : CVE-2024-13776

JSON object : View

Products Affected

No product.

CWE
CWE-862

Missing Authorization