Vulnerabilidad en Responsive Thumbnail Slider para WordPress (CVE-2015-10144)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
25/07/2025
Última modificación:
16/12/2025
Descripción
El complemento Responsive Thumbnail Slider para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de depuración del tipo de archivo en el cargador de imágenes en versiones anteriores a la 1.0.1. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, carguen archivos arbitrarios en el servidor de los sitios afectados mediante una extensión doble, lo que podría posibilitar la ejecución remota de código.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:i13websolution:thumbnail_carousel_slider:*:*:*:*:*:wordpress:*:* | 1.0.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cxsecurity.com/issue/WLB-2015080170
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/multi/http/wp_responsive_thumbnail_slider_upload.rb
- https://www.acunetix.com/vulnerabilities/web/wordpress-plugin-thumbnail-carousel-slider-arbitrary-file-upload-1-0/
- https://www.exploit-db.com/exploits/37998
- https://www.wordfence.com/threat-intel/vulnerabilities/id/6c396ae6-d34c-4554-b670-28868dc136a5?source=cve