Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en MC4WP: Mailchimp para WordPress (CVE-2024-8850)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
19/09/2024
Última modificación:
25/09/2024

Descripción

El complemento MC4WP: Mailchimp para WordPress es vulnerable a ataques de Cross-Site Scripting reflejado a través del parámetro 'email' cuando se utiliza un marcador de posición como {email} para el campo en las versiones 4.9.9 a 4.9.15 debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ibericode:mailchimp:*:*:*:*:*:wordpress:*:* 4.9.9 (incluyendo) 4.9.16 (incluyendo)