Vulnerabilidad en File Manager Pro para WordPress (CVE-2023-6846)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
05/02/2024
Última modificación:
18/10/2024
Descripción
El complemento File Manager Pro para WordPress es vulnerable a la carga arbitraria de archivos en todas las versiones hasta la 8.3.4 incluida, a través de la función mk_check_filemanager_php_syntax AJAX. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, ejecuten código en el servidor. La versión 8.3.5 introduce una verificación de capacidad que evita que los usuarios inferiores a administrador ejecuten esta función.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:filemanagerpro:file_manager:*:*:*:*:*:wordpress:*:* | 8.3.4 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página