Vulnerabilidad en RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress (CVE-2023-6805)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
17/04/2024
Última modificación:
14/01/2025
Descripción
El complemento RSS Aggregator by Feedzy – Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator para WordPress es vulnerable a Blind Server-Side Request Forgery en todas las versiones hasta la 4.4.7 incluida a través de la funcionalidad fetch_feed. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, realicen solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web y pueden usarse para modificar información de servicios internos. NOTA: Esta vulnerabilidad, explotable por usuarios de nivel colaborador, se solucionó en la versión 4.4.7. La misma vulnerabilidad se solucionó para los usuarios de nivel de autor en la versión 4.4.8.
Impacto
Puntuación base 3.x
6.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:themeisle:rss_aggregator_by_feedzy:*:*:*:*:*:wordpress:*:* | 4.4.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/changeset/3070624/feedzy-rss-feeds
- https://www.wordfence.com/threat-intel/vulnerabilities/id/46978e1d-7adb-49f6-8e41-093f177c9a4d?source=cve
- https://plugins.trac.wordpress.org/changeset/3070624/feedzy-rss-feeds
- https://www.wordfence.com/threat-intel/vulnerabilities/id/46978e1d-7adb-49f6-8e41-093f177c9a4d?source=cve