Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en File Manager Pro para WordPress (CVE-2023-6846)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
05/02/2024
Última modificación:
18/10/2024

Descripción

El complemento File Manager Pro para WordPress es vulnerable a la carga arbitraria de archivos en todas las versiones hasta la 8.3.4 incluida, a través de la función mk_check_filemanager_php_syntax AJAX. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, ejecuten código en el servidor. La versión 8.3.5 introduce una verificación de capacidad que evita que los usuarios inferiores a administrador ejecuten esta función.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:filemanagerpro:file_manager:*:*:*:*:*:wordpress:*:* 8.3.4 (incluyendo)