CVE-2024-13801

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-13801
The BWL Advanced FAQ Manager plugin for WordPress is vulnerable to unauthorized modification of data that can lead to a denial of service due to a missing capability check on the 'baf_set_notice_status' AJAX action in all versions up to, and including, 2.1.4. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update option values to '1' on the WordPress site. This can be leveraged to update an option that would create an error on the site and deny service to legitimate users or be used to set some values to true such as registration.

8.1 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://codecanyon.net/item/bwl-advanced-faq-manager/5007135
https://www.wordfence.com/threat-intel/vulnerabilities/id/b3a84201-6cd8-4528-ae7a-7fd813c8da18?source=cve
Configurations

No configuration.

History

27 Mar 2025, 16:45

Type Values Removed Values Added
Summary
  • (es) El complemento BWL Advanced FAQ Manager para WordPress es vulnerable a la modificación no autorizada de datos, lo que puede provocar una denegación de servicio debido a la falta de una comprobación de capacidad en la acción AJAX «baf_set_notice_status» en todas las versiones hasta la 2.1.4 incluida. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, actualizar los valores de las opciones a «1» en el sitio de WordPress. Esto puede aprovecharse para actualizar una opción que generaría un error en el sitio y denegaría el servicio a usuarios legítimos, o para establecer algunos valores como verdaderos, como el registro.

26 Mar 2025, 09:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-03-26 09:15

Updated : 2025-03-27 16:45

NVD link : CVE-2024-13801

Mitre link : CVE-2024-13801

CVE.ORG link : CVE-2024-13801

JSON object : View

Products Affected

No product.

CWE
CWE-862

Missing Authorization