Se ha descubierto una vulnerabilidad de severidad crítica en el plugin Service Finder Bookings. Un actor malicioso podría eludir la autenticación y obtener privilegios de administrador sin credenciales previas, lo que podría permitir la instalación de puertas traseras, la exfiltración de datos o el desfiguramiento del sitio.
Productos afectados
- Service Finder Bookings: versiones hasta la 6.0
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-5947: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de escalada de privilegios mediante elusión de autenticación que podría permitir a un actor malicioso utilizar la función servicefinderswitchback() para suplantar cualquier cuenta, incluida la de administrador, mediante la manipulación de la cookie originaluserid sin validación adecuada
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias