CVE-2023-3277

The MStore API plugin for WordPress is vulnerable to Unauthorized Account Access and Privilege Escalation in versions up to, and including, 4.10.7 due to improper implementation of the Apple login feature. This allows unauthenticated attackers to log in as any user as long as they know the user's email address.

The MStore API plugin for WordPress is vulnerable to Unauthorized Account Access and Privilege Escalation in versions up to, and including, 4.10.7 due to improper implementation of the Apple login feature. This allows unauthenticated attackers to log in as any user as long as they know the user's email address.

El complemento API de MStore para WordPress es vulnerable al acceso no autorizado a cuentas y a la escalada de privilegios en versiones hasta la 4.10.7 incluida debido a una implementación incorrecta de la función de inicio de sesión de Apple. Esto permite a atacantes no autenticados iniciar sesión como cualquier usuario siempre que conozcan la dirección de correo electrónico del usuario. Estamos divulgando este problema porque el desarrollador aún no ha lanzado un parche, pero continúa lanzando actualizaciones y escalamos este problema al equipo del complemento hace 30 días.