Vulnerabilidad en Favicon Generator para WordPress (CVE-2024-7568)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

24/08/2024

Última modificación:

27/09/2024

Descripción

El complemento Favicon Generator para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 1.5 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función output_sub_admin_page_0. Esto hace posible que atacantes no autenticados eliminen archivos arbitrarios en el servidor mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace. El autor del complemento eliminó la funcionalidad del complemento para solucionar este problema y cerrar el complemento; recomendamos buscar una alternativa a este complemento.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto