Vulnerabilidad en WordPress File Upload para WordPress (CVE-2024-11613)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
08/01/2025
Última modificación:
17/04/2025
Descripción
El complemento WordPress File Upload para WordPress es vulnerable a la ejecución remota de código, la lectura arbitraria de archivos y la eliminación arbitraria de archivos en todas las versiones hasta la 4.24.15 incluida a través del archivo 'wfu_file_downloader.php'. Esto se debe a la falta de una desinfección adecuada del parámetro 'source' y a que se permite una ruta de directorio definida por el usuario. Esto hace posible que atacantes no autenticados ejecuten código en el servidor.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:iptanus:wordpress_file_upload:*:*:*:*:*:wordpress:*:* | 4.25.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página