Vulnerabilidad en temas OptimizePress para WordPress (CVE-2013-7102)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
23/12/2013
Última modificación:
11/04/2025
Descripción
Múltiples vulnerabilidades de subida de ficheros sin restricciones en (1) media-upload.php, (2) media-upload-lncthumb.php, y (3) media-upload-sq_button.php en lib/admin/ en los temas OptimizePress anteriores a 1.61 para WordPress permite a atacantes remotos ejecutar código arbitrario mediante la subida de un fichero con extensión ejecutable y el posterior acceso al mismo a través de una petición directa a images_comingsoon, images_lncthumbs, o images_optbuttons en wp-content/uploads/optpress/, como es explotado en noviembre de 2013.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:optimizepress:optimizepress:*:-:-:*:-:wordpress:*:* | 1.60 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.sucuri.net/2013/12/wordpress-optimizepress-theme-file-upload-vulnerability.html
- http://help.optimizepress.com/customer/portal/articles/1381790-important-optimizepress-1-0-security-update
- http://seclists.org/fulldisclosure/2013/Dec/127
- http://www.osirt.com/2013/11/wordpress-optimizepress-hack-file-upload-vulnerability/
- http://blog.sucuri.net/2013/12/wordpress-optimizepress-theme-file-upload-vulnerability.html
- http://help.optimizepress.com/customer/portal/articles/1381790-important-optimizepress-1-0-security-update
- http://seclists.org/fulldisclosure/2013/Dec/127
- http://www.osirt.com/2013/11/wordpress-optimizepress-hack-file-upload-vulnerability/